用於在iOS上運行HTTPS服務器的SSL身份證書

Question

我正在嘗試在iOS應用程序中構建HTTPS服務器 ，以便充當我的Web應用程序和外部服務器之間的代理。

我已經設法通過監聽套接字來創建HTTP服務器，這要歸功於CFSocketRef或使用GCDAsyncSocket庫。 我還成功地使用GCDAsyncSocket庫制作運行HTTPS服務器的Mac應用程序，並且感謝我的方法“secureSocket：”，它可以保護連接：

- (void)socket:(GCDAsyncSocket *)sock didAcceptNewSocket:(GCDAsyncSocket *)newSocket
{
    // (...)
    // secure the connection
    [self secureSocket:newSocket];
    // (...)
}

- (void)secureSocket:(GCDAsyncSocket *)sock
{
    // The root self-signed certificate I have created
    NSString *certificatePath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];
    NSData *certData = [[NSData alloc] initWithContentsOfFile:certificatePath];
    CFDataRef certDataRef = (CFDataRef)certData;
    SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);
    [certData release];

    // the "identity" certificate
    SecIdentityRef identityRef;
    SecIdentityCreateWithCertificate(NULL, cert, &identityRef);

    // the certificates array, containing the identity then the root certificate
    NSArray *certs = [[NSArray alloc] initWithObjects:(id)identityRef, (id)cert, nil];

    // the SSL configuration
    NSMutableDictionary *settings = [NSMutableDictionary dictionaryWithCapacity:3];
    [settings setObject:[NSNull null] forKey:(NSString *)kCFStreamSSLPeerName];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsAnyRoot];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsExpiredRoots];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLAllowsExpiredCertificates];
    [settings setObject:[NSNumber numberWithBool:NO] forKey:(NSString *)kCFStreamSSLValidatesCertificateChain];
    [settings setObject:(NSString *)kCFStreamSocketSecurityLevelNegotiatedSSL forKey:(NSString*)kCFStreamSSLLevel];
    [settings setObject:certs forKey:(NSString *)kCFStreamSSLCertificates];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:(NSString *)kCFStreamSSLIsServer];

    [sock startTLS:settings];
    [certs release];
}

我正在使用的證書是我使用Keychain Access創建的自簽名服務器SSL證書。 所以我理解我必須給系統一個配置集，其中包含一個包含身份和證書的數組。 它在我的Mac應用程序上工作正常。

問題是在我的iOS應用程序的HTTP服務器上啟用SSL。 創建標識的方法“SecIdentityCreateWithCertificate（）”在iOS上不存在，我不知道如何以另一種方式創建標識。

如何在iOS上創建SecIdentityRef（啟用SSL服務器端）？ 我是否想念將公鑰/私鑰存儲在我的應用程序或其他內容？ 非常感謝。

Answer 1

我將發布一個單獨的答案，因為評論不適合代碼共享。
這是我用來導入我的PKCS12：

CFArrayRef keyref = NULL;
OSStatus sanityChesk = SecPKCS12Import((__bridge CFDataRef)p12Data, 
                                       (__bridge CFDictionaryRef)[NSDictionary 
                                                                  dictionaryWithObject:password 
                                                                  forKey:(__bridge id)kSecImportExportPassphrase], 
                                       &keyref);

if (sanityChesk != noErr) {
    NSLog(@"Error while importing pkcs12 [%d]", sanityChesk);
    return nil;
}

NSArray *keystore = (__bridge_transfer NSArray *)keyref;

完整的p12內容將位於密鑰庫陣列中。

Answer 2

看起來您需要使用PKCS＃12文件導入身份。 請參閱https://developer.apple.com/library/ios/#documentation/Security/Conceptual/CertKeyTrustProgGuide/iPhone_Tasks/iPhone_Tasks.html#//apple_ref/doc/uid/TP40001358-CH208-SW13中的清單2-2。