HTTPS自建证书

Posted on | In

苹果针对ATS逐渐收紧了政策,最近看了一些https的资料,自建证书主要用到openssl。根据苹果的政策,自建证书应该是通不过审核的(不确定)。本文主要介绍了如何自建证书和iOS用自建证书验证https。

创建用私钥签名的证书

生成私钥

1
$ openssl genrsa -out private.key 2048

生成证书请求

1
$ openssl req -new -key private.key -out server.csr

这一步需要填写证书信息,如

1
2
3
4
5
6
7
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

其中,Common Name 填写证书绑定的域名,否则证书不能通过信任验证。

生成服务器的私钥

1
openssl rsa -in private.key -out server.key

使用私钥生成服务器证书

1
$ openssl x509 -req -in server.csr -out server.crt -outform pem -signkey server.key -days 365 -sha256

openssl测试

窗口1启动server

1
$ openssl s_server -accept 10001 -key server.key -cert server.crt -tls1_2

窗口2启动客户端

1
$ openssl s_client -connect localhost:10001

使用CA签名证书

创建目录

创建一个目录,并且将生成CA证书的脚本CA.sh复制到这个目录:

1
2
3
$ mkdir ca
$ cd ca
$ cp /usr/local/ssl/misc/CA.sh CA.sh

创建CA私钥和证书

1
./CA.sh -newca

CA.sh会使用/usr/local/ssl/openssl.cnf中的配置来创建

使用CA根证书签名

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 生成私钥
$ openssl genrsa -out private.key 2048

# 生成证书请求
$ openssl req -new -key private.key -out server.csr

# 生成服务器的私钥
$ openssl rsa -in private.key -out server.key

# 使用CA进行签名,生成server.crt
$ cp server.csr newreq.pem
$ ./CA.sh -sign
$ mv newcert.pem server.crt

# 或者上面三步都不需要,直接使用下面一步
$ openssl ca -in server.csr -out server.crt

ATS要求

私钥加密算法

  • 2048位RSA 以上
  • 256位ECC 以上

私钥签名证书算法

  • SHA256 以上

安全协议

  • TLS1.2

证书格式

  • X.509

iOS使用自签名证书

生成cer

iOS客户端支持的证书是DER格式的,直接将服务端的证书导出成DER格式。

1
$ openssl  x509  -inform PEM  -outform DER -in server.crt -out server.cer

NSURLSession验证

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
//导入客户端证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"" ofType:@"cer"];
NSData *data = [NSData dataWithContentsOfFile:cerPath];
SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) data);
self.trustedCertificates = @[(__bridge_transfer id)certificate];

- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
    //1)获取trust object
    SecTrustRef trust = challenge.protectionSpace.serverTrust;
    SecTrustResultType result;

    //注意:这里将之前导入的证书设置成下面验证的Trust Object的anchor certificate
    SecTrustSetAnchorCertificates(trust, (__bridge CFArrayRef)self.trustedCertificates);

    //2)SecTrustEvaluate会查找前面SecTrustSetAnchorCertificates设置的证书或者系统默认提供的证书,对trust进行验证
    OSStatus status = SecTrustEvaluate(trust, &result);
    if (status == errSecSuccess &&
        (result == kSecTrustResultProceed ||
         result == kSecTrustResultUnspecified))
    {
        //3)验证成功,生成NSURLCredential凭证cred,告知challenge的sender使用这个凭证来继续连接
        NSURLCredential *cred = [NSURLCredential credentialForTrust:trust];
        [challenge.sender useCredential:cred forAuthenticationChallenge:challenge];

    }
    else
    {
        //5)验证失败,取消这次验证流程
        [challenge.sender cancelAuthenticationChallenge:challenge];
    }
}

参考

  1. 自建证书配置HTTPS服务器
  2. openssl自签名证书生成与单双向验证
  3. iOS安全系列之一:HTTPS