6

为了提高我的应用程序的安全性并保护用户免受 MITM 攻击,我正在尝试按照这篇文章的内容使用我的自签名证书进行 SSL 固定。

因此,我使用以下代码来比较我从服务器获得的证书与捆绑在应用程序中的证书。

- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
    SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
    SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, 0);
    NSData *remoteCertificateData = CFBridgingRelease(SecCertificateCopyData(certificate));
    NSLog(@"Remote Certificate Data Length: %d",[remoteCertificateData length]);
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"apache" ofType:@"crt"];
    NSData *localCertData = [NSData dataWithContentsOfFile:cerPath];
    NSLog(@"Local Certificate Data Length: %d",[localCertData length]);
    if ([remoteCertificateData isEqualToData:localCertData]) {
        NSURLCredential *credential = [NSURLCredential credentialForTrust:serverTrust];
        [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];
    }
    else {
        [[challenge sender] cancelAuthenticationChallenge:challenge];
    }
}

我的代码与我链接的博客文章中的代码之间唯一不同的是代表我的证书的资源的名称和扩展名(.cer 到 .crt)以及我添加的两个 NSLog,稍后会方便显示问题是什么。

实际上,当执行此代码时,我得到了以下输出:

2013-05-22 16:08:53.331 HTTPS Test[5379:c07] Remote Certificate Data Length: 880
2013-05-22 16:09:01.346 HTTPS Test[5379:c07] Local Certificate Data Length: 1249

显然,本地证书和远程证书之间的比较失败,因为数据的长度不同,因此它也无法固定。

为什么会发生这种情况,我该如何解决这个问题?

4

1 回答 1

5

我遇到过同样的问题。问题可能是因为您没有将 .crt 文件转换为正确的格式。iOS 和 OSX 正在寻找您的.der格式的证书。您需要使用openssl进行转换。是一篇关于这个主题的非常有用的文章。我的公共证书来自 Apache 服务器(我假设您的也是如此)。在查看了 openssl 文档后,我能够弄清楚如何让它工作。

1) 打开终端并将目录更改为 .crt 的位置。

2)执行此命令:

openssl x509 -in your_cert.crt -outform der -out your_output_name.der

这将创建一个名为“your_output_file.der”的输出文件。您必须将其导入您的 xCode 项目并在

- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge

你的NSURLConnectionDelegate实现方法。

我希望这有帮助!

于 2014-02-20T16:09:22.663 回答