AFNetworking+Nginx+HTTPS自签名服务器安全通信

这个关于AFNetworking的HTTPS安全通信的问题,很多没有过第一次经验的以及甚至有过一次经验的都会有点不确定。 其实很简单:

A.对于后台服务器所配置动证书如果是经过CA机构认证颁发的,那么用户用AFNetworking来访问后台接口完全无感觉,就和http一样的方式。
B.但是一个HTTPS的证书如果是知名CA机构认证颁发的,那么就会有问题,AFNetworking默认拒绝和这样的后台服务器通信,因为验证通不过,就和大家网页打开12306网站抢票一样,那个证书也不是经过CA颁发的,而是铁道部自己签名的一个证书。所以,对于中小型初创或是成长型公司来说,买一个https的证书也是需要花费不少费用的。所以大家在做后台通信的时候一般都自签名一个证书来实现https接口。自己签名的的证书可以用下面这个openssl命令进行生成:
openssl req -new -x509 -nodes -days 365 -newkey rsa:1024  -out tv.diveinedu.com.crt -keyout tv.diveinedu.com.key

其中: -days 365是指定证书的有效期时间长度,单位是天,从命令运行的时刻算起; -newkey rsa:1024是指定新生成的证书使用1024位长度的RSA非对称加密算法; -out 指定输出的证书文件名 -keyout 指定输出的私钥文件名 上面这个命令运行后会要输入一些设置信息:

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Hunan
Locality Name (eg, city) :Changsha
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tv.diveinedu.com
Organizational Unit Name (eg, section) :Market
Common Name (e.g. server FQDN or YOUR name) :tv.diveinedu.com
Email Address :diveinedu@qq.com

如果对搭建Linux后台HTTPS服务有兴趣,需要把证书和私钥上传到服务器或者直接在服务器生成,把此证书配置到后台服务器中,以Nginx为例进行如下设置:

1.先新增一个Nginx的虚拟主机配置文件,
sudo touch /etc/nginx/sites-available/tv.diveinedu.com
2.然后使这个配置文件生效:
sudo ln -sf /etc/nginx/sites-available/tv.diveinedu.com /etc/nginx/sites-enabled/tv.diveinedu.com
3.编辑该文件:
sudo vim /etc/nginx/sites-enabled/tv.diveinedu.com
4.敲入 i 进入VIM编辑模式,输入这样配置:
server {
    listen 80;#HTTP默认端口80
    server_name tv.diveinedu.com;#主机名,与HTTP请求头域的HOST匹配
    access_log  /var/log/nginx/tv.diveinedu.com.log;#访问日志路径
    return 301 https://$server_name$request_uri;#强制把所有http访问跳转到https
}

server {
    listen 443;#HTTPS默认端口443
    ssl on;#打开SSL安全Socket
    ssl_certificate      /etc/nginx/tv.diveinedu.com.crt;#证书文件路径
    ssl_certificate_key  /etc/nginx/tv.diveinedu.com.key;#私钥文件路径

    server_name tv.diveinedu.com;#主机名,与HTTP请求头域的HOST匹配
    access_log  /var/log/nginx/tv.diveinedu.com.log;#访问日志路径
    location / {
        root /var/www/tv.diveinedu.com/;#网站文档根目录
        index index.php index.html;#默认首页
    }
}
5.敲ESC后退出VIM的编辑模式,再敲入 x 回车 在Vim保存退出。 然后执行Nginx配置文件语法检查命令检查配置是否有错:
nginx -t

如果没有错误就会输出:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
6.然后就只需要重启Nginx服务器了
sudo service nginx restart

然后就去你的域名服务商后台把你的域名解析到服务器到IP地址就可以自由访问了,只不过会浏览器访问会被自动组织并显示警告,手动添加到信任即可。

如果公司有钱想为用户提供更好的服务和体验,最好还是去知名CA认证机构去注册申请一个有效的证书为妙! 不然浏览器(Chome)会这样:



7.证书格式转换 由于iOS端Apple的API需要der格式证书,故用如下命令转换
openssl x509 -outform der -in tv.diveinedu.com.crt -out tv.diveinedu.com.der
8.iOS工程Info.plist设置
    <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            <key>tv.diveinedu.com</key>
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>

9.iOS端证书验证代码:

    //openssl x509 -outform der -in tv.diveinedu.com.crt -out tv.diveinedu.com.der
    NSString *certFilePath = [[NSBundle mainBundle] pathForResource:@"tv.diveinedu.com" ofType:@"der"];
    NSData *certData = [NSData dataWithContentsOfFile:certFilePath];
    NSSet *certSet = [NSSet setWithObject:certData];
    AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:certSet];
    policy.allowInvalidCertificates = YES;
    policy.validatesDomainName = YES;

    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;
    manager.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData;

    [manager GET:@"https://tv.diveinedu.com/channel/" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        NSLog(@"%@",responseObject);
    } failure:^(NSURLSessionDataTask  _Nullable task, NSError  _Nonnull error) {
        NSLog(@"%@",error);
    }];

文章转载自 开源中国社区[https://www.oschina.net]

时间: 2024-12-17 13:46:43

AFNetworking+Nginx+HTTPS自签名服务器安全通信的相关文章

为苹果ATS和微信小程序搭建 Nginx + HTTPS 服务

昨天测试开发微信小程序,才发现微信也要求用HTTPS加密数据,想来是由于之前苹果的ATS审核政策的缘故吧,微信想在苹果上开放小程序必然也只能要求开发者必须使用HTTPS了,于是在服务器上测试安装Nginx+HTTPS服务. 安装 HTTPS 最麻烦的问题应该就是获取证书了,证书感觉种类也挺复杂的,有好几种,单域.泛域.多域...还有个种标准乱七八糟的感觉,而且收费很高,还是每年买的. 现在各个云服务商也都有提供各种基础功能的免费证书,但似乎很多只对单域免费,这里的单域是指每个二级域名都算是一个域

使用nginx搭建媒体点播服务器

使用nginx搭建媒体点播服务器 最新由于兴趣,对ubuntu和安卓上的视频点播直播等应用比较感兴趣,所以在vmware的虚拟机里面搭建了一个视频点播网站,参考了fengzhanhai的文章Nginx搭建视频点播服务器(仿真专业流媒体软件). 1,环境的准备 1)下载vmware,当然破解版本 2)安装ubuntu 64bit版本,老的电脑可能需要bios里面设置,设置方法百度去. 3)执行sudo apt-get update & sudo apt-get install yum 4)执行su

Nginx的扩展Web服务器OpenResty安装及使用

OpenResty,也被称为"ngx_openresty",是一个基于Nginx的核心Web应用程序服务器,它包含了大量的第三方的Nginx模块和大部分系统依赖包. OpenResty不是Nginx的分支,它只是一个软件包.主要有章亦春维护. 为什么是OpenResty? OpenResty允许开发人员使用lua编程语言构建现有的Nginx的C模块,支持高流量的应用程序. 安装OpenResty 依赖的软件包:     perl 5.6.1+     libreadline     l

你真的了解如何将 Nginx 配置为Web服务器吗

阅读之前,建议先阅读初识 Nginx. 之后,我们来了解一下 Nginx 配置. 抽象来说,将 Nginx 配置为 Web 服务器就是定义处理哪些 URLS 和如何处理这些URLS 对应的请求.具体来说,就是定义一些虚拟服务器(Virtual Servers),控制具有特定 IP 和域名的请求. 更具体的来说, Nginx 通过定义一系列 locations 来控制对 URIS 的选择.每一个 location 定义了对映射到自己的请求的处理场景:返回一个文件或者代理请求,或者根据不同的错误代码

php + php service (nginx +apache 两台服务器)有没有意义?

问题描述 php + php service (nginx +apache 两台服务器)有没有意义? php + php service (nginx +apache 两台服务器)有没有意义? apache 服务器做webservice服务器 和数据库服务器nginx 做前端服务器 对外 相比在一台服务器上处理,这样的话速度有点慢,这样做有没有必要,主要是才学web service 所以想实战下,但是目前只有拿手上一个系统试试 ,流量不大,是不是这样搭建适合高并发的系统? 解决方案 两台服务器,

php+nginx 24核的服务器cpu使用总是前几个核使用很高,其他没有使用

问题描述 php+nginx 24核的服务器cpu使用总是前几个核使用很高,其他没有使用 php+nginx 24核的服务器cpu使用总是前几个核使用很高,其他没有使用 解决方案 很简单,因为你的程序只用了几个并发的线程,没有让所有的cpu都活跃起来. 特别是现代操作系统支持超线程,如果你的线程数比较少,为了性能的优化,操作系统会关闭掉超线程产生的逻辑处理器,表现为后面的一半数量的处理器都歇着. 解决方案二: nginx配置 下这两项,affinity太多了,懒得写,网上搜下一大堆 worker

详解iOS开发 - 用AFNetworking实现https单向验证,双向验证_IOS

自苹果宣布2017年1月1日开始强制使用https以来,htpps慢慢成为大家讨论的对象之一,不是说此前https没有出现,只是这一决策让得开发者始料未及,博主在15年的时候就做过https的接口,深知此坑之深,原因就是自身对这方面知识不了解加上网上的资料少,除此外还有博客不知对错就互相转载,导致当时网上几乎找不到能用的代码,这一点,博主说的毫不夸张. 鉴于此,博主一直想填一下这个坑,多增加一些正确的代码,来供广大开发者使用,后来一直被搁置,经过尝试后,博主现将整理好的代码发布在这里,希望能帮到

Nginx+Keepalived实现Web服务器负载均衡

说明: 操作系统:CentOS 5.X 64位 Web服务器:192.168.21.127.192.168.21.128 站点:bbs.111cn.net和sns.111cn.net部署在两台Web服务器上 实现目的: 增加两台服务器(主主模式),通过Nginx+Keepalived实现Web服务器负载均衡 架构规划: Nginx服务器:192.168.21.129.192.168.21.130 虚拟服务器(VIP):192.168.21.252.192.168.21.253 部署完成之后: 1

iOS AFNetworking框架HTTPS请求配置

[引自IamOkay的博客] iOS在Apple公司的强制要求下,数据传输必须按照ATS(App Transefer Security)条款.关于AFNetworking框架传输HTTPS数据. 一.AllowsArbitraryLoads 白名单机制 NSAllowsArbitraryLoads是ATS推广过程中的产物,当然也许可持续很久甚至永久,为了访问HTTP服务,一般需要绕过ATS限制,需要配置info.plist文件 <key>NSAppTransportSecurity</k