前言

根据苹果要求,2017必须要适配https。服务器端配置https需要一堆东西,这里就不详述了,主要介绍客户端的问题,而且是最简单的配置方式。

有的没有配置证书只是简单设置了网络请求的security也成功了,这里介绍的方式是配置证书的,更安全更有保障度。

这里先介绍AFNetworking的基本配置以及相关证书。

一、配置证书

1、服务器端证书配置好后可以给客户端一个证书,后缀是.crt的,拿到手后转成.der或.cer格式

  • .crt转.der方法 >

    openssl x509 -in Users/Jeffrey/ca.crt -out /Users/Jeffrey/ca.der -outform DER

  • .crt转.cer方法

    openssl x509 -in /Users/Jeffrey/ca.crt -out /Users/Jeffrey/ca.cer -outform DER

这个方法没有测试成功,因为我们后台人员没有给我有效的证书。这个方法如果报错的话需要做相关验证。参考:https双向认证iOS客户端处理

2、直接终端生成对应的cer证书
这个方式会跳过服务器端给的证书一步,因为很多时候你们都不清楚到底要哪个证书,也不知道哪里会出现错误。

直接看命令:

openssl s_client -connect www.baidu.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https.cer

百度的域名换成自己公司的,注意不要加http或https。如果贵公司的域名的https还没有配置好,那么这步也会是无效的,会报错。

Expecting: TRUSTED CERTIFICATE

这个方法亲测有效!

二、证书导入

直接拖进去,记住这步。否则会没有读取到证书文件。
tip.png

三、AFNetworking单向验证设置

由于网络库没有更新,所以这里使用的还是AFNetworking 2.6.0的相关配置,其实最近的也是一致的,配置的都是AFSecurityPolicy,是一致的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
+ (AFSecurityPolicy*)customSecurityPolicy
{
    // 先导入证书 -- 这里要判断环境
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"server_staging" ofType:@"cer"];//证书的路径
    NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    
    // AFSSLPinningModeCertificate 使用证书验证模式
    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    
    // allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
    // 如果是需要验证自建证书,需要设置为YES
    securityPolicy.allowInvalidCertificates = YES;
    
    //validatesDomainName 是否需要验证域名,默认为YES;
    //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
    //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
    //如置为NO,建议自己添加对应域名的校验逻辑。
    securityPolicy.validatesDomainName = NO;

    if (!certData) {
        return securityPolicy;
    }
    securityPolicy.pinnedCertificates = @[certData];
    
    return securityPolicy;
}

这里建议统一设置,否则每次请求再单独添加会比较繁琐。

1
2
3
4
5
_requestManager = [[AFHTTPRequestOperationManager alloc] initWithBaseURL:[KYConfig defaultConfig].serverHostURL];
        NSMutableSet *contentTypes = [_requestManager.responseSerializer.acceptableContentTypes mutableCopy];
        [contentTypes addObject:@"application/json"];
        _requestManager.responseSerializer.acceptableContentTypes = [contentTypes copy];
        _requestManager.securityPolicy = [KYHTTPManager customSecurityPolicy];

关于webView以及SDWebImage等后续篇章会继续介绍,敬请关注。

下一篇:

iOS适配https(二)– 黑魔法简单适配SDWebImage

相关参考:

https双向认证iOS客户端处理
iOS 迁移到HTTPS(自建证书+单向验证+AF3.0+WKWebView+SDWebImage)

如果需要Demo请留言,会在后续版本中添加。