HTTP + 加密 + 認證 + 完整性保護 = HTTPS
HTTPS就是將HTTP協(xié)議數(shù)據(jù)包放到SSL/TSL層加密后,在TCP/IP層組成IP數(shù)據(jù)報去傳輸檀训,以此保證傳輸數(shù)據(jù)的安全柑潦;而對于接收端,在SSL/TSL將接收的數(shù)據(jù)包解密之后峻凫,將數(shù)據(jù)傳給HTTP協(xié)議層渗鬼,就是普通的HTTP數(shù)據(jù)。HTTP和SSL/TSL都處于OSI模型的應用層荧琼。
HTTPS并不是一種新協(xié)議譬胎,只是HTTP通信接口部分使用SSL和TLS協(xié)議代替而已差牛。通常HTTP直接和TCP通信,當使用SSL時堰乔,就演變成先和SSL通信偏化,再由SSL和TCP通信了
1.準備證書
我們需要的是.cer的證書。但是后臺可能給我們的是.crt的證書镐侯。我們需要轉(zhuǎn)換一下:打開終端 -> cd到.crt證書路徑 -> 輸入openssl x509 -in 你的證書.crt -out 你的證書.cer -outform der侦讨,證書就準備好了,拖入工程苟翻。
2.創(chuàng)建方法
//支持https
+ (AFSecurityPolicy *)customSecurityPolicy
{
//先導入證書韵卤,找到證書的路徑
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的證書名字" ofType:@"cer"];
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
//AFSSLPinningModeCertificate 使用證書驗證模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
//allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO
//如果是需要驗證自建證書崇猫,需要設置為YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要驗證域名沈条,默認為YES;
//假如證書的域名與你請求的域名不一致诅炉,需把該項設置為NO蜡歹;如設成NO的話,即服務器使用其他可信任機構(gòu)頒發(fā)的證書涕烧,也可以建立連接月而,這個非常危險,建議打開澈魄。
//置為NO景鼠,主要用于這種情況:客戶端請求的是子域名,而證書上的是另外一個域名痹扇。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com溯香,那么mail.google.com是無法驗證通過的鲫构;當然,有錢可以注冊通配符的域名*.google.com玫坛,但這個還是比較貴的结笨。
//如置為NO,建議自己添加對應域名的校驗邏輯湿镀。
securityPolicy.validatesDomainName = NO;
NSSet *set = [[NSSet alloc] initWithObjects:certData, nil];
securityPolicy.pinnedCertificates = set;
return securityPolicy;
}
3.打開ATS(默認是開啟的炕吸,手動屏蔽了的記得開啟)
NO:表示開啟了 (默認)
YES:表示屏蔽了ATS
WX20170921-190719.png
