iOS 配置https

iOS,前端开发,杂货铺

Posted by oragekk on August 16, 2017

昨天试验了iOS 11 beta6 发现原有的https自建证书不能使用,可能是新版本要对ATS加强验证,之前一直说的要全面https估计在不久的将来就要来临,未接入的可能要像Apple说的不允许上架。所以把配置过程记录在此

要求

启用ATS必须符合以下标准,不满足条件的HTTPS证书,ATS都会拒绝链接:

  • 服务器所有的链接使用TLS1.2以上版本
  • HTTPS证书必须使用SHA 256以上哈希算法签名
  • HTTPS证书必须使用RAS 2048位或ECC 356位以上公钥算法
  • 使用前向加密技术

AFSecurityPolicy相关的配置

  • SSLPinningMode SSLPinningMode定义了https连接时,如何校验服务器端给予的证书

      typedef NS_ENUM(NSUInteger, AFSSLPinningMode){
      AFSSLPinningModeNone,
      AFSSLPinningModePublicKey,
      AFSSLPinningModeCertificate,
      };
    

    AFSSLPinningModeNone: 代表客户端无条件地信任服务器端返回的证书。

    AFSSLPinningModePublicKey: 代表客户端会将服务器端返回的证书与本地保存的证书中,PublicKey的部分进行校验;如果正确,才继续进行。

    AFSSLPinningModeCertificate: 代表客户端会将服务器端返回的证书和本地保存的证书中的所有内容,包括PublicKey和证书部分,全部进行校验;如果正确,才继续进行。

  • allowInvalidCertificates 是否支持自建证书默认NO 改为YES
  • validatesDomainName 是否进行域名验证 默认YES 改为NO

客户端配置

  • 首先导入证书到项目 daoru.md.png phases.md.png

  • 配置info.plist文件 infoplist.md.png
  • 网络请求配置(AFN)
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"UpopRsaCert" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
NSString *cerPath2 = [[NSBundle mainBundle] pathForResource:@"verify_sign_acp" ofType:@"cer"];//证书的路径
NSData *certData2 = [NSData dataWithContentsOfFile:cerPath2];
NSString *cerPath3 = [[NSBundle mainBundle] pathForResource:@"myWebsite" ofType:@"cer"];//证书的路径
NSData *certData3 = [NSData dataWithContentsOfFile:cerPath3];
NSSet *cerArray = [NSSet setWithObjects:certData,certData2,certData3, nil];
securityPolicy.pinnedCertificates = cerArray;
[httpManager setSecurityPolicy:securityPolicy];