我正在开发一个应用程序,它很快需要包含 https 以进行网络通信。当我们注意到我们正在通过 URL 发送所有用户凭据时,我们就开始担心了。这不好,因为这样我们的用户名和密码就公开了。经过大量研究,固定服务器 SSL 证书的公钥似乎是可行的方法。我决定使用 TrustKit 固定证书的公钥,这样我们就不必在应用程序中固定整个证书。这样我们就不必在过期时继续更换证书,因此不必构建新的 IPA 或提交给 Apple。为了启动并运行它,我需要回答几个问题。
所以我明白开始使用 TrustKit 需要做三件主要的事情。
1.我需要知道我们将要使用的域并将它们包含在我们的 info.plist 中。
- 问题:此域中的服务器是否需要做任何准备才能获得处理一切所需的
TrustKit?
2. 我需要 2 个公钥哈希,它们也需要包含在 info.plist 中。
- 问题:如何从证书中提取公钥散列?我从哪里获得这些哈希值?
3.我需要知道要使用什么公钥算法。
- 问题:这是什么?我如何确定要使用哪一个?
一旦所有这些都准备就绪,我还需要在应用程序方面做些什么来确保 TrustKit 能长期发挥作用吗?
最佳答案
服务器本身不需要做任何特别的事情,但您的运营/基础设施团队需要做;参见 2. 和备用引脚。
TrustKit 提供了一个 Python 脚本来生成您正在寻找的散列和算法:https://github.com/datatheorem/TrustKit/blob/master/get_pin_from_certificate.py .您需要在域的 CA 证书(这将是第一个哈希)上使用脚本,然后在另一个 CA 证书上使用脚本,您从中为您的域购买了备份证书。如果您需要快速轮换服务器上的(第一个)证书,而不会使您的应用程序变砖,则需要此备份 pin。这在此处有更详细的解释:https://noncombatant.org/2015/05/01/about-http-public-key-pinning/ .
2. 中描述的脚本也返回算法。它是嵌入在服务器证书中的公钥算法(RSA、ECDSA)。这是 TrustKit 所需要的,因为 iOS 不提供 API 来自动检测证书的算法。
关于ios - 设置 TrustKit,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40618715/