首页 > 代码库 > Https适配

Https适配

技术分享
https封面

在WWDC 2016开发者大会上,苹果宣布了一个最后期限:到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。也就是说,自2017年起,网络请求必须由http改成https。正因为这个原因,我也打算尝试下适配Https网络请求。由于先前没有配置服务器经验,网上说的也很不详细,因此踩了不少坑,足足花了一天的时间。现在我把我配置的流程写下来,希望后来人能少走点弯路。(网上教程有,但是写得很乱,难理解,这里我打算用最通俗的语言来描述。)

概念误区:HTTPS和语言无关


一开始,我以为https应该像处理http报头一样,要写什么PHP代码(服务器语言是PHP),把客户端传来的证书经过处理验证什么的,然后再返回处理结果(类似于Token验证)。因此,一开始我就搜PHP怎么处理HTTPS请求,结果都是介绍怎么用PHP发送HTTPS请求的。经过一段时间纠结,我才意识到HTTPS的处理并不需要PHP做什么,你的服务器(比如apache)就已经帮你做好验证了,你只需要像接收http请求一样处理数据就可以了,也就是说,服务器增加HTTPS并不需要在代码中做什么,只要服务器配置下就好

关于HTTPS握手流程我觉得还是应该了解下,可以参考这份资料:https握手流程。

简单得说就是客户端向服务器发起需求,服务器把证书发给客户端,客户端验证下证书是否合法,然后用证书的数据加密传输数据给服务器,服务器解密

生成证书文件


看了上面的原理就知道,要HTTPS传输首先得有证书。在生成证书这方面我也遇到了很大的坑,几乎所有的网站都要生成2个证书,server.pemclient.pem。一开始我把server.pem配置到服务器上,把client.pem给AFNetwoking,结果怎么都通过不了验证!后来我发现只要AFNetworing使用server.pem验证就可以了,也就是说只要一份证书就行了。。。(真的不知道为什么要2份证书,如有大神欢迎指出)。

下面我将命令行代码贴出来,主要参考这篇文章:参考文章

//第一步,为服务器端和客户端准备公钥、私钥# 生成服务器端私钥openssl genrsa -out server.key 1024# 生成服务器端公钥openssl rsa -in server.key -pubout -out server.pem//第二步,生成 CA 证书# 生成 CA 私钥openssl genrsa -out ca.key 1024# X.509 Certificate Signing Request (CSR) Management.openssl req -new -key ca.key -out ca.csr# X.509 Certificate Data Management.openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

在第二步时会出来一个填写资料的界面(我已经填好大家可以参考,有些地方可以空着)

Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:ZhejiangLocality Name (eg, city) []:HangzhouOrganization Name (eg, company) [Internet Widgits Pty Ltd]:My CAOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:localhostEmail Address []:

这里有点要注意, Common Name (e.g. server FQDN or YOUR name) []: 这一项,是最后可以访问的域名,我这里为了方便测试,写成 localhost ,如果是为了给网站生成证书,需要写成 xxxx.com 。

//第三步,生成服务器端证书# 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件openssl req -new -key server.key -out server.csr# 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.cr

同样会有信息填写,照旧写就好了。

第四步,生成cer文件使用openssl 进行转换openssl x509 -in server.crt -out server.cer -outform der

如果完成,就会得到这么多文件

技术分享
证书文件

配置服务器


为了方便,我是以mac本地电脑做服务器,使用的是XAMPP搭建的服务器使用的是apache。在其他服务器上应该就是文件路径位置不一样,其他应该是一样的。如果有些服务器没开启ssl,可以网上搜索怎么开启。

修改httpd-ssl.conf文件 把server.crt和server.key的路径修改对就好了SSLCertificateFile /apache/conf/server.crt  SSLCertificateKeyFile /apache/conf/server.key

由于我的服务器默认开启ssl,因此我就修改下证书路径就好了。
我们来浏览器访问下

技术分享
浏览器访问https

按我标出的框来访问证书,就可以看见我们刚才自己填的数据

技术分享
服务器返回的证书


因为不同服务器配置不同,不能一概而论,所以大家还是根据自己服务器的情况再配置。

配置AFNetworking


这里直接上代码

+ (AFSecurityPolicy*)customSecurityPolicy{    // /先导入证书    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"server" ofType:@"cer"];//证书的路径    NSData *certData = http://www.mamicode.com/[NSData dataWithContentsOfFile:cerPath];    // AFSSLPinningModeCertificate 使用证书验证模式    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];    // allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO    // 如果是需要验证自建证书,需要设置为YES    securityPolicy.allowInvalidCertificates = YES;    //validatesDomainName 是否需要验证域名,默认为YES;    //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。    //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。   //如置为NO,建议自己添加对应域名的校验逻辑。    securityPolicy.validatesDomainName = NO;    securityPolicy.pinnedCertificates = @[certData];    return securityPolicy;}+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure{    // 1.获得请求管理者    AFHTTPSessionManager *mgr = [AFHTTPSessionManager manager];    // 2.申明返回的结果是text/html类型    mgr.responseSerializer = [AFHTTPResponseSerializer serializer];    // 加上这行代码,https ssl 验证。    [mgr setSecurityPolicy:[NetworkHelpManager customSecurityPolicy]];    // 3.发送POST请求    [mgr POST:url parameters:params  success:^(NSURLSessionDataTask *operation, id responseObj) {          if (success) {            success(responseObj);         }      } failure:^(NSURLSessionDataTask *operation, NSError *error) {          if (failure) {              failure(error);          }      }];}

还要记得把证书添加到项目中来哦

技术分享
项目中的证书

下面要介绍下证书的验证模式 AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

  • AFSSLPinningModeNone 

不做任何验证,只要服务器返回了证书就通过

  • AFSSLPinningModePublicKey 

只验证公钥部分,只要公钥部分一致就验证通过,如图所示,红色框起来的部分只要一致就通过

技术分享
客户端和服务器端证书对比
  • AFSSLPinningModeCertificate

除了公钥外,其他能容也要一致才能通过验证。

配置结果


下面我们用Charles抓包看看是否成功加密了。

技术分享
抓包结果

返回的数据依稀能看出我们证书里的内容,但是数据已经加密了。

总结


配置https其实并不难,既然迟早要更新还不如早一点配置好。其实很多时候都是我们不愿意做,而不是不能做。多一点耐心,多一点实践,就能多一点突破。

我是翻滚的牛宝宝,欢迎大家评论交流~

Https适配