對於HTTPS我在網上找了一堆資料看了下, 各種協議和證書已經有點暈了 最後我現有的感覺是, 在HTTP伺服器上放一個證書, 在原本的HTTP訪問之前客戶端先檢查證書是否正確 如果客戶端證書檢查正確, 說明對 這個伺服器就是我要連接的那個server 不對, 就說明這個server是個假冒的 同樣也 ...
對於HTTPS我在網上找了一堆資料看了下, 各種協議和證書已經有點暈了
最後我現有的感覺是, 在HTTP伺服器上放一個證書, 在原本的HTTP訪問之前客戶端先檢查證書是否正確
如果客戶端證書檢查正確, 說明對 這個伺服器就是我要連接的那個server
不對, 就說明這個server是個假冒的
同樣也可以在客戶端放一個證書, 伺服器端檢查客戶端傳來的證書
如果伺服器檢查證書正確, 就說明這個客戶端是我的小弟 我允許他連接進來
不對, 就說明這個客戶端是"卧底", 不能放他進來
好了 不扯犢子, 說說我搭建的過程
證書哪裡搞?
可以在網上找, 有收費的 也有免費試用的, 也能自己做
看了下不想折騰, 就自己做一個吧
這個就要用上pyOpenSSL了, 方法如下
1. 安裝pyOpenSSL
sudo easy_install pyOpenSSL
安裝好就可以開始自己做證書了
2. 生成一個Privatekey
openssl genrsa -des3 -out server.key 1024
3. 生成.csr
openssl req -new -key server.key -out server.csr
4.生成.key
cp server.key server.key.org openssl rsa -in server.key.org -out server.key
5.生成.crt
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
好了, 這樣在當前目錄就有server.key & server.crt, 這兩個可以直接給伺服器用
伺服器我是用Python+Flask, 提供一個例子代碼:
1 from flask import Flask, jsonify 2 app = Flask(__name__) 3 4 @app.route('/test', methods=['GET']) 5 def method(): 6 return jsonify({'Result': 'OK'}) 7 8 app.run(port=8100,ssl_context=('/Users/jackey/Downloads/BackHomeServer/server.crt', '/Users/jackey/Downloads/BackHomeServer/server.key'))
好了, 上面這些就差不多做了個簡單的HTTPS server
用瀏覽器測試了下, 要手動設置信任這個證書才可以正常連接
接下來就是配置客戶端了
在這之前要先把crt證書轉換成cer格式, 同樣用openSSL代碼如下:
openssl x509 -in server.crt -out server.cer -outform der
這樣當前目錄就多了一個server.cer
把server.cer拖到項目中, 記得Copy item if needed跟Targets都要勾上, 不然會報錯
然後就用AFNetworking連接就好了, 只是比一般HTTP連接多了設置證書部分
給個例子:
1 manager = [AFHTTPSessionManager manager]; 2 3 AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey]; 4 securityPolicy.allowInvalidCertificates = YES; 5 manager.securityPolicy = securityPolicy; 6 7 [manager GET:@"https://localhost:8100/test" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) { 8 NSLog(@"pass"); 9 } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) { 10 NSLog(@"fail");11 }];
這樣一個簡單的HTTPS鏈就完成了, 不過如果對安全性要求比較高
就要在證書跟驗證方式上面調整了
