本文主要是自己纠结https时遇到的配置问题。
iOS配置HTTPS
正规证书
如果是正规的数字证书认证机构颁发的证书,就不需要进行任何配置,记得将url前面加上https即可正常访问,达到加密以及通过审核的目的。但是缺点是要钱,而且费用不低。
但是!好消息!好消息!好消息!!!
阿里云和腾讯云现在提供免费的正规证书使用了!
腾讯云提供的没用不清楚,但是阿里云提供的免费证书有效期为一年,一年后能不能重新免费再配一个就不清楚了。但是这个证书是正规的,亲测有效,用了再说,省了一大笔麻烦。
下面提供一些传送门:
阿里云服务器配置证书教程:阿里云的文档简直是业界楷模
阿里云证书购买(选择免费的那个):选择免费的那个,看看其余的价格就是费用确实不低了
阿里云配置苹果ATS帮助文档:很贴心地针对苹果的要求专门写了个服务器端的配置注意事项,其实从阿里云和腾讯云都退出了免费的证书来看,很好奇苹果的强力要求是不是对https的普及和平民化起到了一定的推动作用
腾讯云检测ATS支持度:腾讯贴心地推出了一个供大家检测自家服务器配置后是否符合苹果要求的服务,哪里不足哪里满足都很详细。
自生成证书
但如果在如此大好的环境下还想用自生成的证书,那么除了服务器的配置要满足苹果的要求外(要求见上方阿里云的文档),工程内也需要做一些配置。
首先,需要把证书放到工程内,必须是cer格式的,证书有多重格式,不同格式的转换见这个网站。是可以在mac的终端中直接输入命令行转换的。
放到工程内后,去 info.plist 中增加如下图的配置:
此外,还需要对网络请求部分的代码进行修改,因为要告诉它接受这个证书。这里,就要针对你使用的不同的网络请求方式有不同的设置了。
NSURLConnection
其实这个在iOS 9中已经废弃被NSURLSession取代了,不过还是说一下,直接添加下面的代理方法就可以了:
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust)
{ // 告诉服务器,客户端信任证书
// 创建凭据对象
NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
// 告诉服务器信任证书
[challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];
}
}
NSURLSession
系统自带的类中现在就是推荐使用这个类,参考如下代码设置:
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler
{ // 判断是否是信任服务器证书
if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust)
{ // 告诉服务器,客户端信任证书
// 创建凭据对象
NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; // 通过completionHandler告诉服务器信任证书 completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);
}
NSLog(@"protectionSpace = %@",challenge.protectionSpace);
}
AFNetworking 2.x版本
随着iOS 9中对NSURLConnection的废弃, AFNetworking 3.0也做出了修改,不过还是有用2.新版本的,我们只用在原来使用AFHTTPRequestOperationManager类进行网络请求的基础上,改变它的安全策略并配置证书:
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
// https ================
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// 证书模式
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"证书名字" ofType:@"cer"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath]; securityPolicy.pinnedCertificates = [[NSArray alloc] initWithObjects:cerData, nil];
// 配置证书
securityPolicy.allowInvalidCertificates = YES;
// 客户端是否信任非法证书
[securityPolicy setValidatesDomainName:NO];
// 是否在证书域字段中验证域名
manager.securityPolicy = securityPolicy;
// ======================
// 常规的进行POST、GET等请求操作
// ...
AFNetworking 3.x版本
新的版本的里废弃了基于NSURLConnection封装的AFHTTPRequestOperationManager,转而使用基于NSURLSession封装的AFHTTPSessionManager了。
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
// https ================
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// 证书模式
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"证书名字" ofType:@"cer"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath]; securityPolicy.pinnedCertificates = [[NSArray alloc] initWithObjects:cerData, nil];
// 配置证书
securityPolicy.allowInvalidCertificates = YES;
// 客户端是否信任非法证书
[securityPolicy setValidatesDomainName:NO];
// 是否在证书域字段中验证域名
manager.securityPolicy = securityPolicy;
// ======================
// 常规的进行POST、GET等请求操作
// ...
以上,就是常用的网络请求方式下对自生成证书的配置了,如果用的是正规证书,配置了这些也不影响,不过其实已经可以自动识别了,强行配置了以后证书失效后还需要更改工程中的证书,到时候可能老版本就有问题了。
网友评论