蘋果iOS APP配置HTTPS,iOS ATS安裝配置SSL證書！

1. 背景

2017年1月1日起，蘋果AppStore中的所有App都必須啟用 App Transport Security(ATS)安全功能。App TransportSecurity(應用程序安全傳輸)，簡稱 ATS，是蘋果在 iOS 9 中首次推出的一項隱私安全保護功能，啟用ATS后，它會屏蔽明文HTTP資源加載，強制App通過HTTPS連接網(wǎng)絡(luò)服務(wù)，通過傳輸加密保障用戶數(shù)據(jù)安全。ATS在 iOS 9 中是默認開啟的，但開發(fā)者仍然可以選擇關(guān)閉 ATS，讓自己的應用通過 HTTP 連接傳輸數(shù)據(jù)。但從2017年1月1日起，這招將行不通了，所有提交到 App Store 的App必須強制開啟 ATS。

2. 影響

100%被拒的情況：

• NSAllowsArbitraryLoads，打開此開關(guān)相當于關(guān)閉ATS。
• NSExceptionAllowsInsecureHTTPLoads，使用自有網(wǎng)站的HTTP鏈接。
• NSExceptionMinimumTLSVersion，使用自有網(wǎng)站低于TLS1.2標準的HTTPS鏈接。

以下幾種情況是特例，不會被拒：

• App提供流媒體服務(wù)，媒體源已經(jīng)對內(nèi)容進行了加密，這時只要使用蘋果的AV Foundation框架加載內(nèi)容，就可以無視ATS。
• App的內(nèi)容如果有來自已知的第三方，不過最好的做法是和第三方溝通下，敦促他們所有傳輸都使用TLS1.2加密。
• App的內(nèi)容來自于不可知的第三方，比如說允許用戶通過App訪問任意網(wǎng)站,比如說瀏覽器app，可以忽視ATS。

3. 為什么要用 HTTPS

簡單地說，HTTP是明文協(xié)議，通過該協(xié)議傳輸?shù)臄?shù)據(jù)處在被竊聽、篡改、冒充這三大風險中，已經(jīng)是非常不安全的傳輸協(xié)議。HTTPS是加密協(xié)議，就是在HTTP的基礎(chǔ)上開啟一條SSL加密通道，讓原本明文“裸奔”的數(shù)據(jù)，從加密通道中密文傳輸，保證了數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

目前，全球互聯(lián)網(wǎng)正在進行從HTTP到HTTPS的大遷移，蘋果一向非常關(guān)注用戶隱私安全，在執(zhí)行安全策略方面，態(tài)度也是非常強硬，實施強制HTTPS加密勢在必行。

4. 準備工作

申請一個SSL證書

SSL證書按驗證的類別可分：

DV SSL證書(域名驗證型)：只驗證域名所有權(quán)，適合個人網(wǎng)站、博客等站點使用;

OV SSL證書(企業(yè)驗證型)：驗證網(wǎng)站所屬單位身份，適合企業(yè)級用戶使用;

EV SSL證書(擴展驗證型)：擴展驗證網(wǎng)站所屬單位身份，這種證書在瀏覽器中會顯示醒目的綠色地址欄，可信度最高，適合需要用戶高度信任的企業(yè)級用戶使用。

西部數(shù)碼證書產(chǎn)品已經(jīng)上線，支持蘋果iOS系統(tǒng)。

5. AFN 配置 HTTPS

5.1.項目中的網(wǎng)絡(luò)交互都是基于AFN，要求AFN版本在3.0及其以上;

5.2.代碼部分

設(shè)置AFN請求管理者的時候 添加 https ssl 驗證。

// 1.獲得請求管理者

AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];

// 2.加上這個函數(shù)，https ssl 驗證。

[manager setSecurityPolicy:[self customSecurityPolicy]];

// https ssl 驗證函數(shù)

- (AFSecurityPolicy *)customSecurityPolicy {

// 先導入證書

NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"xxx" ofType:@"cer"];//證書的路徑

NSData *cerData = [NSData dataWithContentsOfFile:cerPath];

// AFSSLPinningModeCertificate 使用證書驗證模式

AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

// allowInvalidCertificates 是否允許無效證書(也就是自建的證書)，默認為NO

//validatesDomainName 是否需要驗證域名，默認為YES;

5.3.關(guān)于證書

從西部數(shù)碼CA獲取到HTTPS證書后，會得到一個有密碼的壓縮包文件，使用for other server里面的domain.crt的證書文件。

6. 后臺服務(wù)器配置HTTPS證書(Ngnix)

從西部數(shù)碼CA證書文件壓縮包中，打開其中的for Nginx 文件可以看到 2 個文件，包括公鑰、私鑰。

打開Nginx安裝目錄下conf目錄中的nginx.conf文件找到

#HTTPS server

#

#server {

# listen 443;

# server_name localhost;

# ssl on;

# ssl_certificate cert.pem;

# ssl_certificate_key cert.key;

# ssl_session_timeout 5m;

# ssl_protocols SSLv2 SSLv3 TLSv1;

# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

# }

#}

將其修改為 :

server {

listen 443;

server_name localhost;

ssl on;

ssl_certificate sslkey/public.cer; (證書公鑰)

ssl_certificate_key sslkey/private.key; (證書私鑰)

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1TLSv1.2;

ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

# index index.html index.htm;

# }

#}

將其修改為 :

server {

listen 443;

server_name localhost;

ssl on;

ssl_certificate sslkey/public.cer; (證書公鑰)

ssl_certificate_key sslkey/private.key; (證書私鑰)

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1TLSv1.2;

ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

保存退出，并重啟Nginx。

通過https方式訪問您的站點，確認站點證書安裝配置正確。

標簽： app ssl證書 https ats

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。