AFNet使用TLS验证自签名服务器根CA的问题?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (66)

这是一个试图为我的特定用例寻找解决方案的问题,并记录我为尝试遵循此过程的任何其他人所做的努力。

我们有一个RESTful服务器和一个iOS应用程序。我们有自己的证书颁发机构,服务器有一个根证书颁发机构和一个自签名证书。我们遵循这个过程来生成以下文件:

http://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/

rootCA.pem rootCA.key server.crt server.key

只有服务器证书存储在我们的服务器上,并且作为SSL过程的一部分,公钥与API调用一起发送以进行验证。

我已遵循此流程使用AFNetworking使用证书锁定以及公钥锁定来验证我们的自签名证书:

http://initwithfunk.com/blog/2014/03/12/afnetworking-ssl-pinning-with-self-signed-certificates/

根据本指南,我们将.crt文件转换为.cer文件(DER格式):

https://support.ssl.com/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them

并在iOS应用程序包中包含.cer文件(server.cer)。这成功地允许我们的应用程序向我们的服务器发出GET / POST请求。但是,由于我们的服务器证书可能会过期或重新发布,因此我们想要使用根CA,就像AFNetworking上此线程中的人员所做的那样:

https://github.com/AFNetworking/AFNetworking/issues/1944

目前我们已经更新到AFNetworking 2.6.0,因此我们的网络库应该包含所有更新,包括本次讨论中的更新:

https://github.com/AFNetworking/AFNetworking/issues/2744

用于创建我们安全策略的代码:

    var manager: AFHTTPRequestOperationManager = AFHTTPRequestOperationManager()
    manager.requestSerializer = AFJSONRequestSerializer() // force serializer to use JSON encoding

    let policy: AFSecurityPolicy = AFSecurityPolicy(pinningMode: AFSSLPinningMode.PublicKey)
    var data: [NSData] = [NSData]()
    for name: String in ["rootCA", "server"] {
        let path: String? = NSBundle.mainBundle().pathForResource(name, ofType: "cer")
        let keyData: NSData = NSData(contentsOfFile: path!)!
        data.append(keyData)
    }
    policy.pinnedCertificates = data
    policy.allowInvalidCertificates = true 
    policy.validatesDomainName = false 
    manager.securityPolicy = policy

通过包含server.cer,我们可以通过固定公钥来信任我们的服务器(还尝试了AFSecurityPolicyPinningMode.Certificate); 这工作,因为确切的证书是包括在内。但是,因为我们可能会更改服务器所在的server.crt文件,所以我们希望能够仅使用rootCA.cer来完成此操作。

然而,只有rootCA包含在应用程序包中,这似乎不起作用。是否rootCA没有足够的有关公钥的信息来验证服务器证书,该证书是使用根CA签名的?server.crt文件也可能具有更改的CommonName。

另外,由于我对SSL术语的流利程度是相当原始的,如果任何人都能澄清我是否在问正确的问题,那就太好了。具体问题是:

  1. 我是否正确生成证书,以便服务器可以使用自签名server.crt文件证明其身份?
  2. 是否有可能只包含rootCA.cer文件到bundle中并且能够验证叶证书server.crt?它是否能够验证由同一个rootCA签名的另一个server2.crt文件?或者我们是否应该在根CA和叶子之间包含一个中间证书?
  3. 公钥密码或证书是否为此提供了正确的解决方案?我读过的每一个论坛和博客文章都说是,但即使是最新的AFNetwork库,我们也没有任何运气。
  4. 服务器是否需要以某种方式发送server.crt和roomCA.pem签名?
提问于
用户回答回答于

借助大量不同的SSL资源,我找到了启用自签名证书来验证启用了SSL的私有服务器的解决方案。我对SSL,现有的iOS解决方案以及每一个小问题都有了更好的理解,这使得它在我的系统中无法正常工作。我将尝试概述进入我的解决方案的所有资源,以及小事情的不同之处。

我们仍在使用AFNetworking,目前它是2.6.0,其中包括证书锁定。这是我们问题的根源; 我们无法验证我们的私人服务器的身份,该服务器发送由自签名CA根签署的叶证书。在我们的iOS应用程序中,我们捆绑了自签名根证书,然后通过AFNetworking将其设置为可信锚点。但是,由于服务器是本地服务器(本产品附带的硬件),因此IP地址是动态的,因此AFNetworking的证书验证失败,因为我们无法禁用IP检查。

为了找到答案的根源,我们使用AFHTTPSessionManager来实现自定义sessionDidReceiveAuthenticationChallengeCallback。(请参阅:https://gist.github.com/r00m/e450b8b391a4bf312966)在该回调中,我们使用不检查主机名的SecPolicy验证服务器证书; 请参阅http://blog.roderickmann.org/2013/05/validating-a-self-signed-ssl-certificate-in-ios-and-os-x-against-a-changing-host-name/,它是对于NSURLConnection而不是NSURLSession的更早实现。

代码:

创建一个AFHTTPSessionManager

    var manager: AFHTTPSessionManager = AFHTTPSessionManager()
    manager.requestSerializer = AFJSONRequestSerializer() // force serializer to use JSON encoding
    manager.setSessionDidReceiveAuthenticationChallengeBlock { (session, challenge, credential) -> NSURLSessionAuthChallengeDisposition in

        if self.shouldTrustProtectionSpace(challenge, credential: credential) {
            // shouldTrustProtectionSpace will evaluate the challenge using bundled certificates, and set a value into credential if it succeeds
            return NSURLSessionAuthChallengeDisposition.UseCredential
        }
        return NSURLSessionAuthChallengeDisposition.PerformDefaultHandling
    }

自定义验证的实现

class func shouldTrustProtectionSpace(challenge: NSURLAuthenticationChallenge, var credential: AutoreleasingUnsafeMutablePointer<NSURLCredential?>) -> Bool {
    // note: credential is a reference; any created credential should be sent back using credential.memory

    let protectionSpace: NSURLProtectionSpace = challenge.protectionSpace
    var trust: SecTrustRef = protectionSpace.serverTrust!

    // load the root CA bundled with the app
    let certPath: String? = NSBundle.mainBundle().pathForResource("rootCA", ofType: "cer")
    if certPath == nil {
        println("Certificate does not exist!")
        return false
    }

    let certData: NSData = NSData(contentsOfFile: certPath!)!
    let cert: SecCertificateRef? = SecCertificateCreateWithData(kCFAllocatorDefault, certData).takeUnretainedValue()

    if cert == nil {
        println("Certificate data could not be loaded. DER format?")
        return false
    }

    // create a policy that ignores hostname
    let domain: CFString? = nil
    let policy:SecPolicy = SecPolicyCreateSSL(1, domain).takeRetainedValue() 

    // takes all certificates from existing trust
    let numCerts = SecTrustGetCertificateCount(trust)
    var certs: [SecCertificateRef] = [SecCertificateRef]()
    for var i = 0; i < numCerts; i++ {
        let c: SecCertificateRef? = SecTrustGetCertificateAtIndex(trust, i).takeUnretainedValue()
        certs.append(c!)
    }

    // and adds them to the new policy
    var newTrust: Unmanaged<SecTrust>? = nil
    var err: OSStatus = SecTrustCreateWithCertificates(certs, policy, &newTrust)
    if err != noErr {
        println("Could not create trust")
    }
    trust = newTrust!.takeUnretainedValue() // replace old trust

    // set root cert
    let rootCerts: [AnyObject] = [cert!]
    err = SecTrustSetAnchorCertificates(trust, rootCerts)

    // evaluate the certificate and product a trustResult
    var trustResult: SecTrustResultType = SecTrustResultType()
    SecTrustEvaluate(trust, &trustResult)

    if Int(trustResult) == Int(kSecTrustResultProceed) || Int(trustResult) == Int(kSecTrustResultUnspecified) {
        // create the credential to be used
        credential.memory = NSURLCredential(trust: trust)
        return true
    }
    return false
}

我通过代码快速学到了一些东西。

  1. AFNetworking的setSessionDidReceiveAuthenticationChallengeBlock的实现具有以下签名:
    • (void)setSessionDidReceiveAuthenticationChallengeBlock:(可为空的NSURLSessionAuthChallengeDisposition(^)(NSURLSession * session,NSURLAuthenticationChallenge * challenge,NSURLCredential * __nullable __autoreleasing * __nullable credential))block;

凭证参数是需要分配的参考/输入变量。在swift中,它看起来像这样:AutoreleasingUnsafeMutablePointer。为了在C中为它指定一些东西,你可以这样做:

*credential = [[NSURLCredential alloc] initWithTrust...];

在swift中,它看起来像这样:(从将NSArray转换为RLMArray与RKValueTransFormer无法将outputValue转换为AutoreleasingUnsafeMutablePointer <AnyObject?>

credential.memory = NSURLCredential(trust: trust)
  1. SecPolicyCreateSSL,SecCertificateCreateWithData和SecTrustGetCertificateAtIndex返回非托管!对象,必须使用takeRetainedValue()或takeUnretainedValue()将它们桥接。(请参阅http://nshipster.com/unmanaged/)。当我们使用takeRetainedValue()并且多次调用该方法时(SecDestroy发生崩溃),我们遇到了内存问题/崩溃。在我们切换到使用takeUnretainedValue()之后,现在构建看起来很稳定,因为在验证之后不需要证书或SSL策略。
  2. TLS会话缓存。https://developer.apple.com/library/ios/qa/qa1727/_index.html这意味着当你在挑战中获得成功的验证时,你永远不会再次遇到挑战。当你测试一个有效的证书时,这可能会让你头痛,然后测试一个无效的证书,然后跳过所有的验证,并从服务器获得成功的响应。解决的办法是每次使用有效证书并通过验证质询后,在iOS模拟器中进行Product-> Clean。否则,你可能会花一些时间错误地思考,你终于得到了根CA来验证。

所以这里只是针对我在服务器上遇到的问题的一个工作解决方案。我想在此发布所有内容,希望能够帮助运行本地或开发服务器的其他人使用自签名CA和需要启用SSL的iOS产品。当然,对于iOS 9中的ATS,我希望能够很快再次深入到SSL。

这段代码目前有一些内存管理问题,并会在不久的将来更新。此外,如果任何人看到这个实现并且说“啊哈,这与返回TRUE为无效证书一样坏”,请让我知道!就我可以通过我们自己的测试来看,该应用程序拒绝未由我们的根CA签名的无效服务器证书,并接受由根CA生成并签名的叶证书。应用程序包仅包含根CA,因此服务器证书可以在到期后循环并且现有应用程序不会失败。

如果我深入挖掘AFNetworking并找出所有这一切的一对三解决方案(通过切换它们提供的所有小标志),我还会发布更新。

如果AlamoFire开始支持SSL,也可以随时在这里发布解决方案。

用户回答回答于

初始化AFHttpRequestOperationManager,同时发布请求,如下所示。

AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
    manager.responseSerializer = [AFJSONResponseSerializer serializer];
    manager.requestSerializer = [AFJSONRequestSerializer serializer];
    manager.securityPolicy = [RootCAAFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    [manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Content-Type"];
    [manager POST:Domain_Name parameters:parameters success:^(AFHTTPRequestOperation *operation, id responseObject) {
        success(operation,responseObject);
        [[UIApplication sharedApplication] setNetworkActivityIndicatorVisible:NO];
    } failure:^(AFHTTPRequestOperation *operation, NSError *error) {
        [[UIApplication sharedApplication] setNetworkActivityIndicatorVisible:NO];
        NSLog(@"Error  %@",error);
        failure(operation,error);
    }];

RootCAAFSecurityPolicy是AFSecurityPolicy类的子类。有关RootCAAFSecurityPolicy.h和.m类重写方法,请参见下文

...*)域

RootCAAFSecurityPolicy.h级

#import <AFNetworking/AFNetworking.h>

@interface RootCAAFSecurityPolicy : AFSecurityPolicy

@end

RootCAAFSecurityPolicy.m级

用证书文件名替换RootCA

#import "RootCAAFSecurityPolicy.h"

@implementation RootCAAFSecurityPolicy
-(BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain
{
    if(self.SSLPinningMode == AFSSLPinningModeCertificate)
    {
        return [self shouldTrustServerTrust:serverTrust];
    }
    else
    {
        return [super evaluateServerTrust:serverTrust forDomain:domain];
    }
}
- (BOOL)shouldTrustServerTrust:(SecTrustRef)serverTrust
{
    // load up the bundled root CA
    NSString *certPath = [[NSBundle mainBundle] pathForResource:@"RootCA" ofType:@"der"];

    NSAssert(certPath != nil, @"Specified certificate does not exist!");

    NSData *certData = [[NSData alloc] initWithContentsOfFile:certPath];
    CFDataRef certDataRef = (__bridge_retained CFDataRef)certData;
    SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);

    NSAssert(cert != NULL, @"Failed to create certificate object. Is the certificate in DER format?");


    // establish a chain of trust anchored on our bundled certificate
    CFArrayRef certArrayRef = CFArrayCreate(NULL, (void *)&cert, 1, NULL);
    OSStatus anchorCertificateStatus = SecTrustSetAnchorCertificates(serverTrust, certArrayRef);

    NSAssert(anchorCertificateStatus == errSecSuccess, @"Failed to specify custom anchor certificate");


    // trust also built-in certificates besides the specified CA
    OSStatus trustBuiltinCertificatesStatus = SecTrustSetAnchorCertificatesOnly(serverTrust, false);

    NSAssert(trustBuiltinCertificatesStatus == errSecSuccess, @"Failed to reenable trusting built-in anchor certificates");


    // verify that trust
    SecTrustResultType trustResult;
    OSStatus evalStatus =  SecTrustEvaluate(serverTrust, &trustResult);

    NSAssert(evalStatus == errSecSuccess, @"Failed to evaluate certificate trust");


    // clean up
    CFRelease(certArrayRef);
    CFRelease(cert);
    CFRelease(certDataRef);


    // did our custom trust chain evaluate successfully
    return (trustResult == kSecTrustResultProceed || trustResult == kSecTrustResultUnspecified);
}
@end

扫码关注云+社区