通常要在socket 连接基础上增加SSL认证,都是通过PKCS12文件(p12)导出SecIdentity,然后给到CFSocket使用,但是如果想要每个用户单独一个证书的话,就必须要在后台动态生成证书,然后下发给客户端了,因为我们无法在iOS上生成p12文件(仅macOS可以,且需要手动从钥匙串导出),那怎么实现呢?
经过研究通过这么几步可以实现:
1.用openssl 本地生成一对RSA密钥(通过Security框架生成并存在本地钥匙串中)
- 根据这对密钥生成一个CSR文件,具体方法是:
- 2.1 根据Version、Distinguished Name、Public Key、Attributes生成请求证书;
- 2.2用私钥对请求证书加密生成签名
- 2.3根据请求信息、签名算法和签名生成CSR文件;
- 把CSR文件发送给服务端,服务端根据这个CSR请求向CA机构申请数字证书
- 服务端把证书返回给客户端,客户端导入证书到本地钥匙串
- 从钥匙串中根据privateKey查找SecIdentity
- 通过SSLSetCertificate把证书配置到SSLContext中,或者通过CFWriteStreamSetProperty给CFStream配置证书
但是这里有两个问题就是,公钥、私钥都一定要在客户端生成吗? 如果私钥想要固定的话,怎么办呢?
首先第一个问题,不一定要在客户端生成,服务器上也可以,本质上都是调用openssl来生成,并没有什么区别,而且在服务器上生成的话,还省去了传CSR文件传给服务器的麻烦。 但是在服务器上生成的话,怎么安全的把私钥传给客户端又是一个问题了,毕竟这个东西可是不能随便让人获取的。
第二个问题,私钥如果想要固定的话,可以预先生成好防在客户端。这里不是直接把key文件打包放进去,而是放在动态库或者静态库里面,需要用到的时候再导入到钥匙串中,并且做好一定的逆向防护,避免被窃取。至于公钥,其实放不放客户端都无所谓,因为只要证书能下发到客户端,里面就已经包含了公钥的信息,我们凭私钥和证书就可以从钥匙串中查找到SecIdntity。
这里还有一个坑,就是通过钥匙串存储的密钥和证书,在APP卸载之后还是存在的,如果我们存进去多份,而密钥又相同的话,系统就不知道哪个是最新的。所以往钥匙串写入和查询的时候需要额外增加一个tag,而且这个tag必须是唯一的,如果做不到这点,就尝试在写入新的证书之前先删除旧的证书,否则可能会查询到错误的证书。开发调试这个功能的时候最好在自动时自动清除证书或加一个按钮手动删除钥匙串中的证书,不然你会发现被坑的很惨(不要问我怎么发现的~)
网友评论