14 
NSURLConnection/CFURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9813)

非常非常沮丧!我已经为此拉了几个小时的头发。我在我的 Linode 服务器上使用自签名证书。端口是 8000,无法让它在 443 上工作。我不相信这是原因。这是我的代码,它是 99% 的样板:

NSURLRequest *request = [NSURLRequest requestWithURL:[NSURL URLWithString:@"https://www.myserver.com:8000/test.json"]];
NSURLConnection *conn = [[NSURLConnection alloc] initWithRequest:request delegate:self startImmediately:YES];

在底部:

#pragma mark NSURLConnectionDelegate

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace {
    NSLog(@"protectionSpace: %@", [protectionSpace authenticationMethod]);

    // We only know how to handle NTLM authentication.
    if([[protectionSpace authenticationMethod] isEqualToString:NSURLAuthenticationMethodNTLM])
        return YES;

    // Explicitly reject ServerTrust. This is occasionally sent by IIS.
    if([[protectionSpace authenticationMethod] isEqualToString:NSURLAuthenticationMethodServerTrust])
        return NO;

    return NO;
}

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
    [[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];
}

- (void)connection:(NSURLConnection *)connection didReceiveResponse:(NSURLResponse *)response {
    NSLog(@"%@", response);
}

- (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data {
    NSLog(@"%@", data);
}

- (void)connection:(NSURLConnection *)connection didFailWithError:(NSError *)error {
    NSLog(@"didFailWithError");
    NSLog([NSString stringWithFormat:@"Connection failed: %@", [error description]]);
}

天哪,救命!

更新

它与这个委托方法一起工作。我收到了回复,但是有问题。

- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
    [[challenge sender] useCredential:[NSURLCredential
                                       credentialWithUser:@"user"
                                       password:@"password"
                                       persistence:NSURLCredentialPersistencePermanent] forAuthenticationChallenge:challenge];

}

我提供的“用户”和“密码”是完全随机的,服务器不会检查。如何在我的服务器上接受连接之前验证凭据?

编辑:我正在运行 Node.js 服务器

4

2 回答 2

8

获取相应的错误描述可能会有所帮助:

因此,首先错误域kCFStreamErrorDomainSSL意味着错误代码是 Security/SecureTransport.h 中定义的 SSL 错误代码:

kCFStreamErrorDomainSSL, -9813 表示:

errSSLNoRootCert = -9813, /* cert chain not verified by root */

这仅仅意味着,您没有受信任的根证书,并且由于身份验证失败而导致连接失败。

在设备上为服务器信任身份验证提供根证书就可以了。

有几种方法可以使用自签名证书实现服务器信任身份验证,其中一种比另一种更安全。

最简单的方法需要一个自签名证书,该证书存储在应用程序的捆绑包中,然后检索并简单地进行字节比较。这是一个例子:

使用自签名证书实现服务器信任身份验证

这些也是必须阅读的: 技术说明 TN2232 HTTPS 服务器信任评估技术问答 QA1360 描述 kSecTrustResultUnspecified 错误

更优选的方法是使用您可以成为您自己的 CA(证书颁发机构)。也就是说,您创建自己的 CA 并使用此 CA 签署证书。

步骤类似:

  1. 在您的应用中捆绑 CA 根证书的 DER 文件。

  2. 处理服务器信任认证如下:

    1. 获取身份验证质询
    2. 从挑战中检索信任对象
    3. 从包中的数据创建证书对象
    4. 使用 function 将证书对象设置为信任对象的锚点SecTrustSetAnchorCertificates
    5. 评估信任
于 2013-08-03T15:08:10.053 回答
2

不确定这是否真的能解决问题,但它可能会有所帮助。你应该使用

– connection:willSendRequestForAuthenticationChallenge:

因为其他方法已弃用。看一下NSURLConnectionDelegate 协议的概述

于 2013-08-03T14:01:28.673 回答