【iOS开发】Https 原理与验证过程

2016-12-19  本文已影响146人  xiacheng

一、参考文章
HTTPS 基础OpenSSL 与 SSL 数字证书概念贴iOS 中对 HTTPS 证书链的验证
二、学习过程中的疑问和解决

  1. 证书的验证过程中自己计算加密摘要信息是怎么进行的。
    刚开始接触时对证书的验证过程,主要的困惑在于证书自己怎么计算自己的摘要从而与上一级证书解密出来的摘要进行对比。后面了解这与证书的生成过程有关。摘要里面的信息是公开的,而且加密算法也是公开的,所以每个证书都能自己计算出自己加密 后的摘要信息。摘要与数字签名生成:明文(证书的相关信息,公开的)-> hash运算(此证书用的hash运算方法也是公开的) -> 摘要 -> 上级证书的私钥加密(颁发者) -> 数字签名

关于自建证书与申请的证书验证时的区别
申请的证书:申请的证书不用在项目中导入cer文件,如果是用AFNetworking 进行网络请求的话,只需要进行下面两步: <1> 生成一个policy:

<2> 设置[sessionManager setSecurityPolicy:[self customSecurityPolicy]];
即可,不需要导入证书,因为你申请的证书已经在信任列表里面了,系统会自动进行验证,就像浏览器做的那样。
自建证书的验证 方法同上,但是要导入证书链,然后AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
改为AFSSLPinningModeCertificate
,然后加入证书即可。(这只是猜想没有经过验证)

三、需要注意的问题

  1. 验证证书有效性的方法
    验证会从最底的证书开始:假设有三级证书,分别为A,B,C;A: 根证书,一般是被加到客户端的信任列表里面的。B: 二级证书C: 客户端证书
    验证步骤:
    用B证书的pubKey(公钥)来解密C的签名信息,得到C的加密后的摘要。
    C证书通过证书中标明的加密算法来计算出加密后摘要。
    比对这两份摘要,如果一致,表明B信任C。
    用同样的方法,判断A是否信任B
    因为A是根证书,所以这时不会再用上面的方法,而是用客户端信任证书列表里面存储的证书与A 进行比对,如果有一致的,说明这个证书链是可信的。
    完成证书的验证。
上一篇 下一篇

猜你喜欢

热点阅读