用于在iOS上运行HTTPS服务器的SSL身份证书

Question

我正在尝试在iOS应用程序中构建HTTPS服务器 ，以便充当我的Web应用程序和外部服务器之间的代理。

我已经设法通过监听套接字来创建HTTP服务器，这要归功于CFSocketRef或使用GCDAsyncSocket库。 我还成功地使用GCDAsyncSocket库制作运行HTTPS服务器的Mac应用程序，并且感谢我的方法“secureSocket：”，它可以保护连接：

- (void)socket:(GCDAsyncSocket *)sock didAcceptNewSocket:(GCDAsyncSocket *)newSocket
{
    // (...)
    // secure the connection
    [self secureSocket:newSocket];
    // (...)
}

- (void)secureSocket:(GCDAsyncSocket *)sock
{
    // The root self-signed certificate I have created
    NSString *certificatePath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];
    NSData *certData = [[NSData alloc] initWithContentsOfFile:certificatePath];
    CFDataRef certDataRef = (CFDataRef)certData;
    SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);
    [certData release];

    // the "identity" certificate
    SecIdentityRef identityRef;
    SecIdentityCreateWithCertificate(NULL, cert, &identityRef);

    // the certificates array, containing the identity then the root certificate
    NSArray *certs = [[NSArray alloc] initWithObjects:(id)identityRef, (id)cert, nil];

    // the SSL configuration
    NSMutableDictionary *settings = [NSMutableDictionary dictionaryWithCapacity:3];
    [settings setObject:[NSNull null] forKey:(NSString *)kCFStreamSSLPeerName];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsAnyRoot];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsExpiredRoots];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsExpiredCertificates];
    [settings setObject:[NSNumber numberWithBool:NO] forKey:(NSString *)kCFStreamSSLValidatesCertificateChain];
    [settings setObject:(NSString *)kCFStreamSocketSecurityLevelNegotiatedSSL forKey:(NSString*)kCFStreamSSLLevel];
    [settings setObject:certs forKey:(NSString *)kCFStreamSSLCertificates];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLIsServer];

    [sock startTLS:settings];
    [certs release];
}

我正在使用的证书是我使用Keychain Access创建的自签名服务器SSL证书。 所以我理解我必须给系统一个配置集，其中包含一个包含身份和证书的数组。 它在我的Mac应用程序上工作正常。

问题是在我的iOS应用程序的HTTP服务器上启用SSL。 创建标识的方法“SecIdentityCreateWithCertificate（）”在iOS上不存在，我不知道如何以另一种方式创建标识。

如何在iOS上创建SecIdentityRef（启用SSL服务器端）？ 我是否想念将公钥/私钥存储在我的应用程序或其他内容？ 非常感谢。

Answer 1

我将发布一个单独的答案，因为评论不适合代码共享。
这是我用来导入我的PKCS12：

CFArrayRef keyref = NULL;
OSStatus sanityChesk = SecPKCS12Import((__bridge CFDataRef)p12Data, 
                                       (__bridge CFDictionaryRef)[NSDictionary 
                                                                  dictionaryWithObject:password 
                                                                  forKey:(__bridge id)kSecImportExportPassphrase], 
                                       &keyref);

if (sanityChesk != noErr) {
    NSLog(@"Error while importing pkcs12 [%d]", sanityChesk);
    return nil;
}

NSArray *keystore = (__bridge_transfer NSArray *)keyref;

完整的p12内容将位于密钥库阵列中。

Answer 2

看起来您需要使用PKCS＃12文件导入身份。 请参阅https://developer.apple.com/library/ios/#documentation/Security/Conceptual/CertKeyTrustProgGuide/iPhone_Tasks/iPhone_Tasks.html#//apple_ref/doc/uid/TP40001358-CH208-SW13中的清单2-2。