51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

从服务器到iOS客户端对ATS的适配

作者:liuchungui
移动开发 iOS
ATS(App Transport Security)是为了提高App与服务器之间安全传输数据一个特性,这个特性从iOS9和OSX10.11开始出现,它默认需要满足以下几个条件

iOS 9系统已经出来了,而网络方面的ATS(App Transport Security)特性可以说每个人都要经历。而我这篇博客,就是结合我最近几天的经历,来谈谈从服务器到iOS客户端对ATS的适配。

一、简单谈谈ATS(App Transport Security)

ATS(App Transport Security)是为了提高App与服务器之间安全传输数据一个特性,这个特性从iOS9和OSX10.11开始出现,它默认需要满足以下几个条件:

服务器TLS版本至少是1.2版本

连接加密只允许几种先进的加密

证书必须使用SHA256或者更好的哈希算法进行签名,要么是2048位或者更长的RSA密钥,要么就是256位或更长的ECC密钥。

如果想了解哪几种先进的加密是被允许的,详情请见官方文档App Transport Security Technote

二、搭建HTTPS服务器

搭建HTTPS服务器有两种方式,一种是创建证书请求,然后到权威机构认证,随之配置到服务器;另外一种是自建证书,然后配置给服务器。***种方式搭建的HTTPS服务器当然是***的了,建立网站的话,直接就会被信任,而作为移动端app的服务器时,也不需要为ATS做过多的适配。虽然说权威的机构认证都是需要钱的,但是如今也不乏存在免费的第三方认证机构;第二种方式搭建的HTTPS服务器,对于网站来说完全不可行,用户打开时直接弹出一个警告提醒,说这是一个不受信任的网站,让用户是否继续,体验很差,而且让用户感觉网站不安全。对于移动端来说,在iOS9出现之前,这个没什么问题,但是在iOS9出来之后,第二种方式是通不过ATS特性,需要将NSAllowsArbitraryLoads设置为YES才行。所以,我推荐使用***种方式搭建HTTPS服务器。

下面,咱们来说说这两种方式都如何进行操作。

***种、使用CA机构认证的证书搭建HTTPS服务器

1、创建证书请求,并提交给CA机构认证

  1. #成私钥 
  2. openssl genrsa -des3 -out private.key 2048 
  3. #生成服务器的私钥,去除密钥口令 
  4. openssl rsa -in private.key -out server.key 
  5. #生成证书请求 
  6. openssl req -new -key private.key -out server.csr 

将生成server.csr提交给CA机构,CA机构对它进行签名之后,然后会生成签名后的根证书和服务器证书发送给你,这个时候的证书就是CA认证之后的证书。我们这里将根证书和服务器证书分别改名为ca.crt和serve.crt。

2、配置Apache服务器

将ca.crt、server.key、server.crt上传到阿里云服务器,使用SSH登陆进入这三个文件的目录,执行下面命令

mkdir ssl
cp server.crt /alidata/server/httpd/conf/ssl/server.crt
cp server.key /alidata/server/httpd/conf/ssl/server.key
cp demoCA/cacert.pem /alidata/server/httpd/conf/ssl/ca.crt
cp -r ssl /alidata/server/httpd/conf/

编辑/alidata/server/httpd/conf/extra/httpd-ssl.conf文件,找到SSLCertificateFile、SSLCertificateKeyFile、SSLCACertificatePath、SSLCACertificateFile进行修改:

  1. # 指定服务器证书位置 
  2. SSLCertificateFile "/alidata/server/httpd/conf/ssl/server.crt" 
  3. # 指定服务器证书key位置 
  4. SSLCertificateKeyFile "/alidata/server/httpd/conf/ssl/server.key" 
  5. # 证书目录 
  6. SSLCACertificatePath "/alidata/server/httpd/conf/ssl" 
  7. # 根证书位置 
  8. SSLCACertificateFile "/alidata/server/httpd/conf/ssl/ca.crt" 
  9.  
  10. 修改vhost配置vim /alidata/server/httpd/conf/vhosts/phpwind.conf 

 

  1. SSLCertificateFile /alidata/server/httpd/conf/ssl/server.crt 
  2. SSLCertificateKeyFile /alidata/server/httpd/conf/ssl/server.key 
  3. SSLCACertificatePath /alidata/server/httpd/conf/ssl 
  4. SSLCACertificateFile /alidata/server/httpd/conf/ssl/ca.crt 
  5. ServerName www.casetree.cn 
  6. DocumentRoot /alidata/www 

***,重启Apache服务器,在浏览器输入网址查看是否配置成功。我这里是个人使用,申请的是免费的证书,我申请证书的网站是沃通。

搭建的成果:https://www.casetree.cn

第二种、自建证书配置HTTPS服务器

请查看我的上一篇自建证书配置HTTPS服务器

三、使用nscurl对服务器进行检测

搭建完HTTPS服务器之后,可以使用nscurl命令来进行检测,查看建立的HTTPS服务器是否能通过ATS特性。

  1. nscurl --ats-diagnostics --verbose https://casetree.cn 

如果HTTPS服务器能通过ATS特性,则上面所有测试案例都是PASS;如果某一项的Reuslt是FAIL,就找到ATS Dictionary来查看,就能知道HTTPS服务器不满足ATS哪个条件。 这里我前面碰到一个问题,就是自建证书的时候,通过此命令进行测试时,发现Result全是FAIL,而且在iOS的代码测试中也出现了一个很奇怪的现象,就是相同的代码,在iOS8.4请求数据完全正常,但是在iOS9上,直接是连接失败。最终发现,其实就是因为自建证书不受信任,是通不过ATS的,除非将NSAllowsArbitraryLoads设置为YES。

四、iOS客户端

在上面的第二大步骤当中,HTTPS服务器满足ATS默认的条件,而且SSL证书是通过权威的CA机构认证过的,那么我们在使用Xcode7开发的时候,对网络的适配什么都不用做,我们也能正常与服务器通信。但是,当我们对安全性有更高的要求时或者我们自建证书时,我们需要本地导入证书来进行验证。

那么,如何本地导入证书进行验证呢?

在这里先提一下,由于iOS客户端支持的证书是DER格式的,我们需要创建客户端证书。创建客户端证书,直接将服务端的CA根证书导出成DER格式就行。
 

  1. openssl x509 -inform PEM -outform DER -in ca.crt -out ca.cer 

导入完证书之后,我们分别来说说使用NSURLSession和AFNetworking来进行本地验证。

首先,来说说使用NSURLSession验证

验证步骤如下:

导入CA根证书到工程中,即我们创建的ca.cer

获取trust object,通过SecCertificateCreateWithData方法读取导入的证书的数据生成一个证书对象,然后通过SecTrustSetAnchorCertificates 设置这个证书为trust object的信任根证书(trusted anchor)

通过SecTrustEvaluate方法去验证trust object

下面是主要OC实现代码,Demo工程我也放在github上了,有OC和Swift两种语言,下载Demo请点击HTTPSConnectDemo。

  1. - (void)viewDidLoad { 
  2. [super viewDidLoad]; 
  3. //导入客户端证书 
  4. NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ca" ofType:@"cer"]; 
  5. NSData *data = [NSData dataWithContentsOfFile:cerPath]; 
  6. SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) data); 
  7. self.trustedCerArr = @[(__bridge_transfer id)certificate]; 
  8. //发送请求 
  9. NSURL *testURL = [NSURL URLWithString:@"https://casetree.cn/web/test/demo.php"]; 
  10. NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[NSOperationQueue mainQueue]]; 
  11. NSURLSessionDataTask *task = [session dataTaskWithRequest:[NSURLRequest requestWithURL:testURL]]; 
  12. [task resume]; 
  13. // Do any additional setup after loading the view, typically from a nib. 
  15.  
  16. #pragma mark - NSURLSessionDelegate 
  17. - (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge 
  18. completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler{ 
  19.  
  20. OSStatus err; 
  21. NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling; 
  22. SecTrustResultType trustResult = kSecTrustResultInvalid; 
  23. NSURLCredential *credential = nil; 
  24.  
  25. //获取服务器的trust object 
  26. SecTrustRef serverTrust = challenge.protectionSpace.serverTrust; 
  27. //将读取的证书设置为serverTrust的根证书 
  28. err = SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)self.trustedCerArr); 
  29.  
  30. if(err == noErr){ 
  31. //通过本地导入的证书来验证服务器的证书是否可信,如果将SecTrustSetAnchorCertificatesOnly设置为NO,则只要通过本地或者系统证书链任何一方认证就行 
  32. err = SecTrustEvaluate(serverTrust, &trustResult); 
  34.  
  35. if (err == errSecSuccess && (trustResult == kSecTrustResultProceed || trustResult == kSecTrustResultUnspecified)){ 
  36. //认证成功,则创建一个凭证返回给服务器 
  37. disposition = NSURLSessionAuthChallengeUseCredential; 
  38. credential = [NSURLCredential credentialForTrust:serverTrust]; 
  40. else
  41. disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge; 
  43.  
  44. //回调凭证,传递给服务器 
  45. if(completionHandler){ 
  46. completionHandler(disposition, credential); 

注意:

1、SecTrustSetAnchorCertificates方法会设置一个标示去屏蔽trust object对其它根证书的信任;如果你也想信任系统默认的根证书,请调用SecTrustSetAnchorCertificatesOnly方法,清空这个标示(设置为NO) 2、验证的方法不仅仅只有这一种,更多的验证方法,请参考HTTPS Server Trust Evaluation

下面,来谈谈AFNetworking是如何验证的,我们如何使用AFNetworking。

AFNetworking的证书验证工作是由AFSecurityPolicy来完成的,所以这里我们主要来了解一下AFSecurityPolicy。注意:我这里使用的是AFNetworking2.6.0,它跟2.5.0是有区别的。

说到AFSecurityPolicy,我们必须要提到它三个重要的属性,如下:

  1. @property (readonly, nonatomic, assign) AFSSLPinningMode SSLPinningMode; 
  2. @property (nonatomic, assign) BOOL allowInvalidCertificates; 
  3. @property (nonatomic, assign) BOOL validatesDomainName; 

SSLPingMode是最重要的属性,它标明了AFSecurityPolicy是以何种方式来验证。它是一个枚举类型,这个枚举类型有三个值,分别是AFSSLPinningModeNone、AFSSLPinningModePublicKey、AFSSLPinningModeCertificate。其中,AFSSLPinningModeNone代表了AFSecurityPolicy不做更严格的验证,只要是系统信任的证书就可以通过验证,不过,它受到allowInvalidCertificates和validatesDomainName的影响;AFSSLPinningModePublicKey是通过比较证书当中公钥(PublicKey)部分来进行验证,通过SecTrustCopyPublicKey方法获取本地证书和服务器证书,然后进行比较,如果有一个相同,则通过验证,此方式主要适用于自建证书搭建的HTTPS服务器和需要较高安全要求的验证;AFSSLPinningModeCertificate则是直接将本地的证书设置为信任的根证书,然后来进行判断,并且比较本地证书的内容和服务器证书内容是否相同,来进行二次判断,此方式适用于较高安全要求的验证。

allowInvalidCertificates属性代表是否允许不信任的证书通过验证,默认为NO。

validatesDomainName属性代表是否验证主机名,默认为YES。

接下来,我们说下验证流程。验证流程主要放在AFSecurityPolicy的- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain方法当中。

c

  1. - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust 
  2. forDomain:(NSString *)domain 
  4. //当使用自建证书验证域名时,需要使用AFSSLPinningModePublicKey或者AFSSLPinningModeCertificate 
  5. if (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) { 
  6. NSLog(@"In order to validate a domain name for self signed certificates, you MUST use pinning."); 
  7. return NO; 
  9.  
  10. NSMutableArray *policies = [NSMutableArray array]; 
  11. //需要验证域名时,需要添加一个验证域名的策略 
  12. if (self.validatesDomainName) { 
  13. [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)]; 
  14. else { 
  15. [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()]; 
  17.  
  18. //设置验证的策略,可以是多个 
  19. SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies); 
  20. //SSLPinningMode为AFSSLPinningModeNone时,allowInvalidCertificates为YES,则代表服务器任何证书都能验证通过;如果它为NO,则需要判断此服务器证书是否是系统信任的证书 
  21. if (self.SSLPinningMode == AFSSLPinningModeNone) { 
  22. if (self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust)){ 
  23. return YES; 
  24. else { 
  25. return NO; 
  27. else if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) { 
  28. return NO; 
  30.  
  31. //获取服务器证书的内容 
  32. NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust); 
  33. switch (self.SSLPinningMode) { 
  34. case AFSSLPinningModeNone: 
  35. default
  36. return NO; 
  37. case AFSSLPinningModeCertificate: { 
  38. //AFSSLPinningModeCertificate是直接将本地的证书设置为信任的根证书,然后来进行判断,并且比较本地证书的内容和服务器证书内容是否相同,如果有一个相同则返回YES 
  39.  
  40. NSMutableArray *pinnedCertificates = [NSMutableArray array]; 
  41. for (NSData *certificateData in self.pinnedCertificates) { 
  42. [pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)]; 
  44. //设置本地的证书为根证书 
  45. SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCertificates); 
  46.  
  47. //通过本地的证书来判断服务器证书是否可信,不可信,则验证不通过 
  48. if (!AFServerTrustIsValid(serverTrust)) { 
  49. return NO; 
  51.  
  52. //判断本地证书和服务器证书的内容是否相同 
  53. NSUInteger trustedCertificateCount = 0
  54. for (NSData *trustChainCertificate in serverCertificates) { 
  55. if ([self.pinnedCertificates containsObject:trustChainCertificate]) { 
  56. trustedCertificateCount++; 
  59. return trustedCertificateCount > 0
  61. case AFSSLPinningModePublicKey: { 
  62. //AFSSLPinningModePublicKey是通过比较证书当中公钥(PublicKey)部分来进行验证,通过SecTrustCopyPublicKey方法获取本地证书和服务器证书,然后进行比较,如果有一个相同,则通过验证 
  63. NSUInteger trustedPublicKeyCount = 0
  64. NSArray *publicKeys = AFPublicKeyTrustChainForServerTrust(serverTrust); 
  65. //判断服务器证书的公钥与本地的证书公钥是否相同,相同则客户端认证通过 
  66. for (id trustChainPublicKey in publicKeys) { 
  67. for (id pinnedPublicKey in self.pinnedPublicKeys) { 
  68. if (AFSecKeyIsEqualToKey((__bridge SecKeyRef)trustChainPublicKey, (__bridge SecKeyRef)pinnedPublicKey)) { 
  69. trustedPublicKeyCount += 1
  73. return trustedPublicKeyCount > 0
  76. return NO; 

说了验证流程,我们***来看看AFNetworking怎么使用,代码如下:

  1. _httpClient = [[BGAFHTTPClient alloc] initWithBaseURL:[NSURL URLWithString:baseURL]]; 
  2. AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; 
  3. //是否允许CA不信任的证书通过 
  4. policy.allowInvalidCertificates = YES; 
  5. //是否验证主机名 
  6. policy.validatesDomainName = YES; 
  7. _httpClient.securityPolicy = policy; 

这里我就没有建立Demo了,如果要看的话,可以看看我写的一个框架BGNetwork,里面的Demo对ATS进行了适配,AFNetworking的使用放在BGNetworkConnector类里面的- (instancetype)initWithBaseURL:(NSString *)baseURL delegate:(id)delegate初始化方法中。

五、适配ATS

前面的内容讲述都是满足ATS特性的情况,但若是服务器是自建证书搭建的,或者TLS版本是1.0的话,服务器又不能轻易改动,那么我们客户端如何适配呢? 不急,我们可以在工程中的Info.plist文件当中进行设置,主要参照下图:

适配iOS 9之ATS

如果是自建证书,没有经过权威机构认证的证书,那么需要将NSAllowsArbitraryLoads设置为YES才能通过。NSAllowsArbitraryLoads为YES,以前的HTTP请求也能通过。

如果是认证过的证书,那么可以通过nscurl --ats-diagnostics --verbose https://casetree.cn这样的命令来查看服务器支持的ATS Dictionary,然后进行对应的设置。

适配的部分,也可以参照Demo1_iOS9网络适配_ATS:改用更安全的HTTPS

责任编辑:chenqingxiang 来源: CocoaChina
iOSATS适配
相关推荐
服务器+客户端聊天程序
在当今这样一个网络时代,很多技术都以网络为中心在诞生。本文介绍了服务器端+客户端的聊天系统,希望对大家有用。

2009-08-18 12:51:19

服务器+客户端
Qt/E服务器客户端架构
QtE是专门为嵌入式系统开发的GUI平台,嵌入式GUI具有下面几个方面的基本要求:轻型、占用资源少、高性能、高可靠性、便于移植、可配置等特点。

2011-06-09 10:51:26

Qt 服务器 客户端
Nagios监控服务器客户端安装
Nagios能监视所指定的本地或远程主机以及服务,同时提供异常通知功能等Nagios可运行在LinuxUnix平台之上,同时提供一个可选的基于浏览器的WEB界面以方便系统管理人员查看网络状态。本文详解了Nagios监控服务器与客户端的安装方法。

2014-01-17 15:23:55

Nagios
MySQL客户端软件连接服务器演示
我们今天主要向大家讲述的是实现MySQL客户端的软件连接远程数据库服务器的实际操作步骤,以下就是文章的主要内容描述。

2010-06-09 14:39:58

详细讲解Fedora DNS服务器客户端
Linux下架设DNS服务器通常是使用Bind程序来实现的。Bind是BerkeleyInternetNameDomainService的简写,它是一款实现DNS服务器的开放源码软件。

2009-12-25 10:47:17

DNS服务器
NIS服务器架设以及客户端设定
NIS服务器的功能专门用来管理账号和密码的服务器,以提供其他linux主机需要用户和密码登陆时,就必须要到这部专门管理用户密码的主机来查寻使用者的帐号与密码。

2009-09-16 16:09:41

NIS服务器客户端NIS
服务器如何获取真实客户端 IP
测试环境微信支付通道提示网络环境未能通过安全验证,请稍后再试,出现这种情况一般首要想到可能是双方网络交互中微信方验参与我们出现不一致,翻了下手册确定是这类问题开始排查环节。

2018-12-19 10:31:32

客户端IP服务器
Python 绝技 —— TCP 服务器客户端
本文先介绍因特网的核心协议TCP,再以Python的socket模块为例介绍网络套接字,最后给出TCP服务器与客户端的Python脚本,并演示两者之间的通信过程。

2019-08-28 15:19:15

PythonTCP服务器
Python 绝技 —— TCP 服务器客户端
「网络」一直以来都是黑客最热衷的竞技场。数据在网络中肆意传播:主机扫描、代码注入、网络嗅探、数据篡改重放、拒绝服务攻击......黑客的功底越深厚,能做的就越多。

2018-12-18 10:47:37

Python 绝技 —— UDP 服务器客户端
本篇将按照套路,先介绍传输层的另一个核心协议UDP,再比较TCP与UDP的特点,最后借助Python脚本演示UDP服务器与客户端的通信过程。

2018-07-17 09:59:10

PythonUDP服务器
Linux客户端服务器、窗口管理关系
嵌入式linux中文站发现很多LINUX初学者在学习linux图形方面的知识时会遇到一些概念,如:X、X11、Xfree86、WM、KDE、GNOME、QT、QTE、Qtopia、DirectFB、Framebuffer、显卡加速驱动等等。理解它们之间是什么关系,对我们学习来说是非常重要的。写这篇文章的目的,就是想让大家明晰这些概念及它们之间的关系。

2012-05-29 09:38:04

Linux客户端服务器
mysql客户端软件连接远程服务器方法
用mysql客户端软件来连接mysql数据库服务器是可以实现的,下文对该方法进行了详细的阐述,如果您感兴趣的话,不妨一看。

2010-10-11 17:46:01

mysql客户端
TCP/IP客户端服务器角色
一个典型的组织会有许多较小型的个人电脑被指定为客户端而几台较大型的电脑被指定为服务器。服务器一般运行服务器软件,客户端则通常运行客户端软件,反之亦然。

2018-12-20 08:50:53

TCPIP服务器
客户端渲染(CSR)与服务器渲染(SSR)
在比较服务器端渲染(SSR)和客户端渲染(CSR)时,重要的是考虑性能的不同方面,

2024-02-22 13:47:40

如何在服务器上配置零客户端
使用零客户端最好的原因是因为它是无状态的,没有活动组件,唯一有可能导致其发生故障的原因就是用户将可乐洒在机器上或者机器出现物理损坏。

2014-06-01 11:03:13

VDI零客户端
图示:DHCP服务器客户端排障方法
下面我们来对DHCP服务器的客户端排障内容进行一下讲解。首先我们了解诶一下发生类似故障的两个方面:客户机存在问题以及服务器自身问题。

2010-08-27 10:18:24

DHCP服务
不安装oracle客户端连接Oracle服务器
CS结构下,连接Oracle服务器需要安装客户端并且进行复杂的配置才能实现,下面就教您一个不安装oracle客户端连接Oracle服务器的方法,供您参考。

2010-10-26 13:54:45

连接Oracle服务器
Linux实战之NFS服务器客户端配置
在RedHatEnterpriseLinux5.0服务器中,NFS服务器以后,网络中不同的计算机在使用该文件系统之前必须先挂载该文件系统。

2009-06-27 20:32:00

LinuxNFS客户端
DB2客户端访问服务器数据库操作步骤
在DB2中从客户端访问服务器端的数据库时,不能直接用connect命令,而必须先建立通信node,再在node的基础上建立数据库连接,本文将为您详细讲解该操作。

2010-08-27 14:43:03

DB2服务器
SVN服务器与Eclipse中客户端配置详解
本文介绍快速建立Subversion服务器,以及在Eclipse客户端中的配置方法。本文是使用Subversion最快速的教程,在最短的时间里帮助您建立起一套可用的服务器环境,只需略加调整就可以应用到实际项目当中。

2009-06-10 16:25:02

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服