那些遇到过的问题

如何在RESTful Web服务中使用DER编码的证书和相互身份验证?

mid*_*ori 6 https openssl ssl-certificate ios mutual-authentication

目前我正在开发一个使用相互身份验证的应用程序,以便与REST接口进行通信.因为我对这个主题很陌生,所以我研究了几个例子 - 现在我有一些问题.我希望我能够将所有知识片段放在一起,以便更好地了解整个过程.

该过程应如下所示:

  1. 我获得了导出的服务器证书,其中包含服务器的公钥,并将其添加到应用程序包(稍后用于SSL固定).
  2. 代表2路认证开始的第一个Request是一个Post Request,它还包含一个证书签名请求,用于获取客户端证书(需要与REST接口的安全部分通信).CSR通过openSSL lib在代码中动态生成.
  3. 服务器的响应返回用于客户端身份验证的签名证书.此证书采用DER格式和Base64编码.

我用于为第一个请求执行SSL固定的代码如下所示,SSL Pinning按预期工作.

- (void)connection:(NSURLConnection *)connection
willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"server-cert" ofType:@"cer"];
    SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
    SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, 0);

    NSData *remoteCertificateData =   CFBridgingRelease(SecCertificateCopyData(certificate));
    NSData *localCertificateData = [NSData dataWithContentsOfFile:cerPath];


    if ([remoteCertificateData isEqualToData:localCertificateData]) {

        NSURLCredential *credential = [NSURLCredential credentialForTrust:serverTrust];
        [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];

        [[NSURLCredentialStorage sharedCredentialStorage] setCredential:credential forProtectionSpace:[challenge protectionSpace]];

        NSLog(@"Certificate Pinning Succeeded");

    } else {

        [[challenge sender] cancelAuthenticationChallenge:challenge];

        NSLog(@"Certificate Pinning Failed");

    }
}
Run Code Online (Sandbox Code Playgroud)

但是如何处理来自服务器的返回证书?据我所知,我必须使用以下NSURLConnection委托方法 - 并以某种方式向服务器提供此证书(用于进一步的请求).

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:   (NSURLProtectionSpace *)protectionSpace
{
    if([[protectionSpace authenticationMethod] isEqualToString:NSURLAuthenticationMethodServerTrust]) {

        NSLog(@"Wants to Authenticate Server Trust");

        return YES;
    }

    if([[protectionSpace authenticationMethod] isEqualToString:NSURLAuthenticationMethodClientCertificate]) {

        NSLog(@"Wants to Authenticate Client Certificate");

        return YES;
    }

    return NO;
}
Run Code Online (Sandbox Code Playgroud) 

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
Run Code Online (Sandbox Code Playgroud)

现在我的问题.我看到几个使用PKCS12格式(需要私钥和证书颁发机构)而不是DER编码证书的示例,以针对服务器验证自身.但是如何在`didReceiveAuthenticationChallenge中使用我签名的DER格式证书来获取更多请求?还有一个Android应用程序使用相同的进程进行相互身份验证,并且它不需要PKCS12证书.

一些提示会很高兴.谢谢.

归档时间:

查看次数:

617 次

最近记录:

10 年,8 月 前
相关归档
如何在Node.js中创建HTTPS服务器? 342
如何在iOS 7下更改UIPickerView中文本的颜色? 115
Swift:如何在设备旋转后刷新UICollectionView布局 52
使用自动布局以编程方式更改框架 42
将iPhone应用程序转换为Xcode 4中的通用应用程序 25
"文件的非可移植路径"File.h";指定路径与磁盘上的文件名不同"更新为Xcode 8.3后桥接头中的警告 19
禁用HTTPS的公用名检查的安全隐患 6
Faraday :: ConnectionFailed(已到达文件末尾) 6
在Cygwin包列表中找不到Openssl 5
https请求基本认证node.js 5
难疑归档
从Git存储库中删除文件而不从本地文件系统中删除它 2892
在字典中添加新密钥? 2427
如何使用CSS为文本或图像提供透明背景? 2211
如何使用CSS垂直居中文本? 2190
原子和非原子属性之间有什么区别? 1828
将(移动)子目录分离到单独的Git存储库中 1712
SQL Server中的LEFT JOIN与LEFT OUTER JOIN 1514
为什么要使用getter和setter/accessors? 1472
将图像加载到Bitmap对象时出现奇怪的内存不足问题 1252
为什么人们在AWS出现时会使用Heroku?Heroku与AWS的区别是什么? 1082