ios - 如何使用自签名证书为 TLS 创建 iOS NWConnection？

Question

我正在尝试将 Apple 的新 NWConnection 类用于我的 MQTT 客户端。为了进行测试，我需要能够创建到我的本地测试代理的 TLS 连接，该代理具有自签名证书。

到目前为止，我只是使用以下方式设置连接:

self.connection = NWConnection(host: NWEndpoint.Host("172.16.202.172"), port: NWEndpoint.Port(integerLiteral: 8899), using: .tls)

但是当我连接时，我的控制台上出现以下问题:

2019-01-30 17:05:51.010580-0800 myAp[2591:608137] [] nw_socket_handle_socket_event [C4.1:1] Socket SO_ERROR [54: Connection reset by peer]
2019-01-30 17:05:57.939157-0800 myApp[2591:608135] [BoringSSL] boringssl_context_alert_callback_handler(3724) [C5:1][0x103e087d0] Alert level: fatal, description: certificate unknown
2019-01-30 17:05:57.939382-0800 myApp[2591:608135] [BoringSSL] boringssl_context_error_print(3676) boringssl ctx 0x282226af0: 4360838776:error:1000007d:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED:/BuildRoot/Library/Caches/com.apple.xbs/Sources/boringssl/boringssl-109.230.1/ssl/handshake.cc:360:
2019-01-30 17:05:57.939510-0800 myApp[2591:608135] [BoringSSL] boringssl_context_get_error_code(3560) [C5:1][0x103e087d0] SSL_AD_CERTIFICATE_UNKNOWN

过去，当我使用 URLSession.shared.dataTask 从 nginx https 服务器下载文件时，我将以下内容添加到我的 info.plist

<dict>
    <key>App Transport Security Settings</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            <key>172.16.202.172</key>
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSTemporaryExceptionsAllowsInsecureHTTPSLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>
</dict>

但在这种情况下，这似乎并没有奏效。当我单击 Apple 的文档链接以获取诸如 NWParameter 之类的内容以代替库存 .tls 时，以为我可以调整 xls 设置，但 Apple 中没有任何信息文档。

那么使用自签名证书为 TLS 通信创建 NWConnection 的正确方法是什么？

Answer 1

我不确定这是否是完整/最佳答案，但我在 Apple Developer 论坛上找到了这种方法:

func createTLSParameters(allowInsecure: Bool, queue: DispatchQueue) -> NWParameters {
    let options = NWProtocolTLS.Options()
    sec_protocol_options_set_verify_block(options.securityProtocolOptions, { (sec_protocol_metadata, sec_trust, sec_protocol_verify_complete) in
        let trust = sec_trust_copy_ref(sec_trust).takeRetainedValue()
        var error: CFError?
        if SecTrustEvaluateWithError(trust, &error) {
            sec_protocol_verify_complete(true)
        } else {
            if allowInsecure == true {
                sec_protocol_verify_complete(true)
            } else {
                sec_protocol_verify_complete(false)
            }
        }
    }, queue)
    return NWParameters(tls: options)
}

self.workQueue = DispatchQueue(label: "mqtt")
self.connection = NWConnection(
    host: NWEndpoint.Host("172.16.202.172"),
    port: NWEndpoint.Port(integerLiteral: 8899),
    using: createTLSParameters(allowInsecure: true, queue: self.workQueue))

使用这种技术，我根本不需要更改 info.plist。

在上述论坛上有一些迹象表明，最好以某种方式将自签名证书拉入您的 iOS 框中。