之前做過一個上架應(yīng)用, 采用的是阿里云的賽門鐵克CA證書鏈接(并不是打廣告-.-), 來自驗證SSL, 客戶端什么都不用做; 今天小伙伴給了一種自定義客戶端網(wǎng)絡(luò)請求綁定SSL證書的方法, 我記錄一下
首先, 你確保服務(wù)端搞好了SSL證書設(shè)置, 讓服務(wù)端導(dǎo)出一個后綴是.cer的證書文件, 拖進工程;
服務(wù)端給你的證書截圖.png
其次,在你網(wǎng)絡(luò)請求類加上這個方法
+ (AFSecurityPolicy*)customSecurityPolicy {
// /先導(dǎo)入證書
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"證書名字" ofType:@"cer"];//證書的路徑
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用證書驗證模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO
// 如果是需要驗證自建證書暇检,需要設(shè)置為YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要驗證域名厅瞎,默認為YES耳舅;
//假如證書的域名與你請求的域名不一致片效,需把該項設(shè)置為NO;如設(shè)成NO的話滥朱,即服務(wù)器使用其他可信任機構(gòu)頒發(fā)的證書虱疏,也可以建立連接,這個非常危險魂拦,建議打開毛仪。
//置為NO,主要用于這種情況:客戶端請求的是子域名芯勘,而證書上的是另外一個域名箱靴。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com荷愕,那么mail.google.com是無法驗證通過的衡怀;當然,有錢可以注冊通配符的域名*.google.com安疗,但這個還是比較貴的抛杨。
//如置為NO,建議自己添加對應(yīng)域名的校驗邏輯荐类。
securityPolicy.validatesDomainName = YES;
securityPolicy.pinnedCertificates = [[NSSet alloc] initWithObjects:certData, nil];
return securityPolicy;
}
最后, 在網(wǎng)絡(luò)請求中調(diào)用這個方法
[manager setSecurityPolicy:[self customSecurityPolicy]];
據(jù)說, 永安行沒有進行證書加密, 接口全部可見, 有空了看看他們接口;
PS: 日積月累, 天天進步!
--END--
