对于HTTPS我在网上找了一堆资料看了下, 各种协议和证书已经有点晕了
最后我现有的感觉是, 在HTTP服务器上放一个证书, 在原本的HTTP访问之前客户端先检查证书是否正确
如果客户端证书检查正确, 说明对 这个服务器就是我要连接的那个server
不对, 就说明这个server是个假冒的
同样也可以在客户端放一个证书, 服务器端检查客户端传来的证书
如果服务器检查证书正确, 就说明这个客户端是我的小弟 我允许他连接进来
不对, 就说明这个客户端是"卧底", 不能放他进来
好了 不扯犊子, 说说我搭建的过程
证书哪里搞?
可以在网上找, 有收费的 也有免费试用的, 也能自己做
看了下不想折腾, 就自己做一个吧
这个就要用上pyOpenSSL了, 方法如下
-
安装pyOpenSSL
sudo easy_install pyOpenSSL
安装好就可以开始自己做证书了 -
生成一个Privatekey
openssl genrsa -des3 -out server.key 1024 -
生成.csr
openssl req -new -key server.key -out server.csr -
生成.key
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key -
生成.crt
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
好了, 这样在当前目录就有server.key & server.crt, 这两个可以直接给服务器用
服务器我是用Python+Flask, 提供一个例子代码:
from flask import Flask, jsonify
app = Flask(__name__)
@app.route('/test', methods=['GET'])
def method():
return jsonify({'Result': 'OK'})
app.run(port=8100,ssl_context=('/Users/jackey/Downloads/BackHomeServer/server.crt', '/Users/jackey/Downloads/BackHomeServer/server.key'))
好了, 上面这些就差不多做了个简单的HTTPS server
用浏览器测试了下, 要手动设置信任这个证书才可以正常连接
接下来就是配置客户端了
在这之前要先把crt证书转换成cer格式, 同样用openSSL代码如下:
openssl x509 -in server.crt -out server.cer -outform der
这样当前目录就多了一个server.cer
把server.cer拖到项目中, 记得Copy item if needed跟Targets都要勾上, 不然会报错
然后就用AFNetworking连接就好了, 只是比一般HTTP连接多了设置证书部分
给个例子:
manager = [AFHTTPSessionManager manager];
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
securityPolicy.allowInvalidCertificates = YES;
manager.securityPolicy = securityPolicy;
[manager GET:@"https://localhost:8100/test" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) {
NSLog(@"pass");
} failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
NSLog(@"fail");11 }];
这样一个简单的HTTPS链就完成了, 不过如果对安全性要求比较高
就要在证书跟验证方式上面调整了
网友评论