我想检查URL中是否存在SSL证书,也想检查其版本和验证类型。
我创建了一个应用程序,在其中我要调用NSURLConnection委托方法来通过服务器发送请求。
也使用了“ canAuthenticateAgainstProtectionSpace”方法,但是一旦建立连接就不会调用此方法。
我该如何实现?
iOS不能为您提供非常细致的证书信息访问。您有两种选择:专用API或使用OpenSSL构建自己的评估程序。
您可以在opensource code中看到专用证书功能。该版本可从SecCertificateVersion()获得。我不确定您所说的“验证类型”是什么意思。
要使用OpenSSL进行此操作,您可以使用SecCertificateCopyData()获取DER数据,然后自己解析所有内容。
我建议就此问题打开雷达(bugreporter.apple.com)。无法访问有关证书的基本信息是一个严重的问题。
如果您正在寻找从NSURLConnection中提取证书的示例代码,请参阅Chapter 11 sample code中的iOS:PTL:
- (void)connection:(NSURLConnection *)connection
willSendRequestForAuthenticationChallenge:
(NSURLAuthenticationChallenge *)challenge
{
NSURLProtectionSpace *protSpace = challenge.protectionSpace;
SecTrustRef trust = protSpace.serverTrust;
...
SecCertificateRef cert = SecTrustGetCertificateAtIndex(trust, 0);
...
此时,cert持有您的叶子证书。
NSURLSessionConfiguration * sessionConfig = [NSURLSessionConfiguration defaultSessionConfiguration];self.urlSession = [NSURLSession sessionWithConfiguration:sessionConfig委托:self RepresentativeQueue:nil];
[[[self.urlSession dataTaskWithURL:[NSURL URLWithString:self.textField.text]完成处理程序:^(NSData * _Nullable数据,NSURLResponse * _Nullable响应,NSError * _Nullable错误){//响应管理代码}]简历];
-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)挑战完成处理器:(void(^)(NSURLSessionAuthChallengeDisposition,NSURLCredential * _Nullable))completionHandler {
// Get remote certificate
SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, 0);
// Set SSL policies for domain name check
NSMutableArray *policies = [NSMutableArray array];
[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)challenge.protectionSpace.host)];
SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
// Evaluate server certificate
SecTrustResultType result;
SecTrustEvaluate(serverTrust, &result);
BOOL certificateIsValid = (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);
// Get local and remote cert data
NSData *remoteCertificateData = CFBridgingRelease(SecCertificateCopyData(certificate));
NSString *pathToCert = [[NSBundle mainBundle]pathForResource:@"github.com" ofType:@"cer"];
NSData *localCertificate = [NSData dataWithContentsOfFile:pathToCert];
// The pinnning check
if ([remoteCertificateData isEqualToData:localCertificate] && certificateIsValid) {
NSURLCredential *credential = [NSURLCredential credentialForTrust:serverTrust];
completionHandler(NSURLSessionAuthChallengeUseCredential, credential);
} else {
completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge, NULL);
}
}