iOS中https部署

2017-01-04  本文已影响1482人  神采飞扬_2015

项目中除了网络接口请求需要https验证,什么打开网页啊,加载图片这些都不需要。ATS,每个应用都属于4个大类当中的一类。我们需要的应该是第4类。

tmp6ed02ae6.png

plist文件配置如下:

 <key>NSAppTransportSecurity</key>
 <dict>
  <key>NSAllowsArbitraryLoads</key>
  <true/>
  <key>NSExceptionDomains</key>
  <dict>
            <key>接口请求域名</key>
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <false/>
            </dict>
            <key>接口请求域名</key>
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <false/>
            </dict>
  </dict>
 </dict>

1、在 *UNIX 环境下使用 openssl 工具生成一对一匹配的 私钥 和 CERTIFICATE REQUEST 文件(以 —–BEGIN CERTIFICATE REQUEST—– 开头)。私钥为绝密,绝对不能泄露,最好在生产服务器直接生成,这样就不需要网络传输,更加安全。
2、将 CERTIFICATE REQUEST 文件提交到证书服务机构,服务机构根据证书级别进行 域名认证、公司认证、安全认证 等不同级别的安全验证。
3、验证通过后,服务机构将基于我们提交的 CERTIFICATE REQUEST 内容,使用他已有的证书派生出子证书,提供给我们下载。
4、我们拿到服务机构颁发的两个 crt 格式的证书(root 证书 及我们的域名证书),再配合本地的私钥,到 Apache、Nginx 等 web server 上部署,部署时会验证“私钥”是否和“域名证书”匹配。
5、用户在以 HTTPS 协议访问网站时,浏览器会进行如下几步安全验证:域名证书中的域名和实际域名是否一致;域名证书和 root 证书是否匹配;root 证书是否可信。

1、在某些低安全级别证书申请中(如仅验证域名所有权的证书),私钥可以让签发服务器代为生成,但这样做有一定的安全风险。
2、root 证书也可以在我们本机生成,如 12306 的自签名证书,但这样不会被普通浏览器信任。
3、私钥为绝密,因为证书全部都是公开的,任何人都可以提取,如果私钥被别人获取,被部署到别人的服务器中,那所有人就会认为那台服务器是完全合法的。这已经不是中间人攻击了,这时候他就是你。

1、发现是 HTTPS 请求,取出证书。
2、进入证书处理流程:
2.1、本地证书分两种情况:① 本地存储着证书服务机构颁发的 crt 文件转换而来的 cer 文件,使用 NSData 进行内容对比 ② 本地存储着自签名的 cer 格式的证书,使用 NSData 进行内容对比
匹配成功,手动让请求继续,这一步可以让自签名证书绕过 iOS 系统的证书合法性验证
2.2、匹配失败,进入错误处理流程
2.3、如果自签名证书不做手动处理,那么在这个方法结束后链接就会被系统关闭,因为 root 证书不合法。

参考:http://ios.jobbole.com/92039/

上一篇 下一篇

猜你喜欢

热点阅读