AFNetWorking3.0使用 自签名证书的https请求
前几日,项目组出于安全角度的考虑,要求项目中的请求使用https请求,因为是企业内部使用的app,因此使用了自签名的证书,而自签名的证书是不受信任的,所以我们就需要自己来做证书的验证,包括服务器验证客户端的证书和我们要信任服务器的证书,SSL双向认证的原理我这里就不赘述了,这里提供两篇博客
iOS安全系列之一:HTTPS: http://oncenote.com/2014/10/21/Security-1-HTTPS/
iOS安全系列之二:HTTPS进阶: http://oncenote.com/2015/09/16/Security-2-HTTPS2/
从开始准备到调试成功一共用了两天,查阅了很多网上提供的解决办法,最后发现很多解决办法都缺少了一个很重要的过程,就是将客户端的证书发送到服务器,让服务器验证我们的身份.如果没有这一步,那么我们的请求就会直接被服务器拒绝导致请求失败.
话不多说,相信说多了也没人看..[手动滑稽]直接上代码,我这里用了afn3.0
准备工作:
首先要导入两个证书, 是两个 一个是客户端使用的.p12的证书,另外一个是服务器端的.cer的证书,将这两个证书拖入工程中,注意要添加target
然后要配置ATS,ATS的配置我也提供一篇博客
iOS 10 适配 ATS: http://www.jianshu.com/p/36ddc5b009a7
新建一个类,继承AFHTTPSessionManager, 我这里重写了initWithURL
1 - (instancetype)initWithBaseURL:(NSURL *)url {
2 self = [super initWithBaseURL:url];
3 if (self) {
4
5 self.requestSerializer.timeoutInterval = 25;
6 [self.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Accept"];
7 [self.requestSerializer setValue:url.absoluteString forHTTPHeaderField:@"Referer"];
8
9 self.securityPolicy = [self getFreeCustomSecurityPolicy];
10
11 self.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"text/plain", @"multipart/form-data", @"application/json", @"text/html", @"image/jpeg", @"image/png", @"application/octet-stream", @"text/json", nil];
12 self.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData;
13
14 [self setSessionDidBecomeInvalidBlock:^(NSURLSession * _Nonnull session, NSError * _Nonnull error) {
15 NSLog(@"setSessionDidBecomeInvalidBlock error : %@",error);
16 }];
17 if ([url.absoluteString hasPrefix:@"https"]) {//当请求是https时,我们就需要做
18 __weak typeof(self) weakSelf = self;
19 [self setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession * _Nonnull session, NSURLAuthenticationChallenge * _Nonnull challenge, NSURLCredential *__autoreleasing _Nullable * _Nullable credential) {
20 NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
21 __autoreleasing NSURLCredential * credentialSelf =nil;
22 if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {//如果有受信任的证书,如果是自签名的证书,这里会是NSURLAuthenticationMethodClientCertificate 23 if([weakSelf.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
24 credentialSelf = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
25 if(credentialSelf) {
26 disposition = NSURLSessionAuthChallengeUseCredential;
27 } else {
28 disposition = NSURLSessionAuthChallengePerformDefaultHandling;
29 }
30 } else {
31 disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
32 }
33 } else {//当接收到的是NSURLAuthenticationMethodClientCertificate,我们就将我们的证书发送给服务器让其验证我们的身份
34 // client authentication
35 SecIdentityRef identity = NULL;
36 SecTrustRef trust = NULL;
37 NSString *p12 = [[NSBundle mainBundle] pathForResource:@"client"ofType:@"p12"];
38 NSFileManager *fileManager =[NSFileManager defaultManager];
39 if(![fileManager fileExistsAtPath:p12])
40 {
41 NSLog(@"client.p12:not exist");
42 } else {
43 NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
44
45 if ([weakSelf extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data])
46 {
47 SecCertificateRef certificate = NULL;
48 SecIdentityCopyCertificate(identity, &certificate);
49 const void*certs[] = {certificate};
50 CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
51 credentialSelf =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
52 disposition = NSURLSessionAuthChallengeUseCredential;
53 }
54 }
55 }
56 *credential = credentialSelf;
57 return disposition;
58 }];
59 }
60 }
61 return self;
62 }
63 - (BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
64 OSStatus securityError = errSecSuccess;
65 //client certificate password
66 NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"password" forKey:(__bridge id)kSecImportExportPassphrase];
67 CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
68 securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
69
70 if(securityError == 0) {
71 CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
72 const void*tempIdentity =NULL;
73 tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
74 *outIdentity = (SecIdentityRef)tempIdentity;
75 const void*tempTrust =NULL;
76 tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
77 *outTrust = (SecTrustRef)tempTrust;
78 } else {
79 NSLog(@"Failedwith error code %d",(int)securityError);
80 return NO;
81 }
82 return YES;
83 }
84 - (AFSecurityPolicy *)getFreeCustomSecurityPolicy {
85 AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
86 NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"server" ofType:@"cer"];
87 NSData *certData = [NSData dataWithContentsOfFile:cerPath];
88 NSSet *certificateSet = [[NSSet alloc] initWithObjects:certData, nil];
89 [securityPolicy setAllowInvalidCertificates:YES];
90 [securityPolicy setPinnedCertificates:certificateSet];
91 [securityPolicy setValidatesDomainName:NO];
92
93 return securityPolicy;
94 }
这样设置好了之后就可以发送使用自签名证书的https请求了
希望可以帮助到遇到自签名证书无法发送请求的同学
代码不太优雅,轻喷,如有错误的地方欢迎指正
邮箱:masterLiPeng@163.com
AFNetWorking3.0使用 自签名证书的https请求的更多相关文章
- iOS 用自签名证书实现 HTTPS 请求的原理
在16年的WWDC中,Apple已表示将从2017年1月1日起,所有新提交的App必须强制性应用HTTPS协议来进行网络请求.默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向Info ...
- iOS使用自签名证书实现HTTPS请求
概述 在16年的WWDC中,Apple已表示将从2017年1月1日起,所有新提交的App必须强制性应用HTTPS协议来进行网络请求. 默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向 ...
- 超级简单的retrofit使用自签名证书进行HTTPS请求的教程
1. 前言 HTTPS越来越成为主流,谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站:苹果从 2017 年 iOS App 将强制使用 HTTPS: ...
- SpringBoot服务间使用自签名证书实现https双向认证
SpringBoot服务间使用自签名证书实现https双向认证 以服务server-one和server-two之间使用RestTemplate以https调用为例 一.生成密钥 需要生成server ...
- curl wget 不验证证书进行https请求【转】
$ wget 'https://x.x.x.x/get_ips' --no-check-certificate $ curl 'https://x.x.x.x/get_ips' -k 转自 curl ...
- 生成自签名证书-开启https
1.生成CA证书 # 生成 CA 私钥 openssl genrsa -out ca.key 2048 # X.509 Certificate Signing Request (CSR) Manage ...
- iOS 的三种自建证书方法https请求相关配置
如果你的app服务端安装的是SLL颁发的CA,可以使用系统方法直接实现信任SSL证书,关于Apple对SSL证书的要求请参考:苹果官方文档CertKeyTrustProgGuide 这种方式不需要在B ...
- Android 7.0解决抓取不到https请求的问题
问题:Android7.0系统,使用fiddler不能抓取https请求 解决方法: 1.在源码res目录下新建xml目录,增加network_security_config.xml文件 (工程名/ ...
- tomcat使用自签名证书实现https加密访问
部署好java环境和tomcat之后 执行以下语句 #生成证书,keytool是java工具命令,-genkey生成证书,-alias证书名称,-keyalg应该是指算法,-keystore是证书存储 ...
随机推荐
- A. Puzzles CodeForces Round #196 (Div.2)
题目的大意是,给你 m 个数字,让你从中选 n 个,使得选出的数字的极差最小. 好吧,超级大水题.因为要极差最小,所以当然想到要排个序咯,然后去连续的 n 个数字,因为数据不大,所以排完序之后直接暴力 ...
- XSS 前端防火墙(3):无懈可击的钩子
昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了: 静态模块:使用 MutationObserver 扫描. 动态模块:通过 API 钩子来拦截路径属性. ...
- selenium python (十四)上传文件的处理
#!/usr/bin/python# -*- coding: utf-8 -*-__author__ = 'zuoanvip' #上传过程一般要打开一个系统的windows窗口,从窗口选择本地文件添加 ...
- LR回放测试脚本
1.设置run time setting Pacing:设置什么时候进行迭代 2.实时观察回放录像 3.回放脚本 4.查看结果
- 安装linux操作系统--浪潮服务器
一直都是在虚拟机上进行安装linux操作系统,在服务器上安装的很少,也没有碰到过没找到驱动的情况,例如什么raid卡驱动,网卡驱动等异常情况的发生. 这次安装了两台服务器,浪潮的提供的服务器,硬盘是两 ...
- ansible定时任务模块和用户组模块使用
接上篇,还是一些基础模块的使用,这里主要介绍的是系统模块的使用. 下面例子都进行过相关的实践,从而可以直接进行使用相关的命令. 3.用户模块的使用 用户模块主要用来管理用户账号和用户的属性(对远程主机 ...
- 【转】Linux Page Cache的工作原理
1 .前言 自从诞生以来,Linux 就被不断完善和普及,目前它已经成为主流通用操作系统之一,使用得非常广泛,它与Windows.UNIX 一起占据了操作系统领域几乎所有的市场份额.特别是在高性能计算 ...
- android LocalActivityManager说明
类概述 Helper class for managing multiple running embedded activities in the same process. This c ...
- NServiceBus教程-NServiceBus和WCF
WCF中缺少的最主要的事情是发布/订阅,但为什么你必须建立它自己吗?NServiceBus,你把它弄出来. 下一个重要的事情是容错.异常导致WCF代理休息,需要"刷新"的代码,但调 ...
- HDU5873:Football Games
题目链接: Football Games 分析: 先将分数排序,然后 设当前队编号为p,设个指针为p+1,然后p>1,每次p-=2,指针右移一位p==1,指针指向的队-=1p==0,从指针开始到 ...