SSL pinning - 在 AFSecurityPolicy 中设置固定公钥而不是固定证书

Posted 2023-02-23

【中文标题】SSL pinning - 在 AFSecurityPolicy 中设置固定公钥而不是固定证书

【英文标题】：SSL pinning - setting pinned public keys instead of pinned certificates in AFSecurityPolicy

【发布时间】：2015-04-17 18:12:49

【问题描述】：

我正在使用 AFNetworking 进行 SSL 固定。我得到它使用以下代码。

AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
manager.securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
[manager.securityPolicy setPinnedCertificates:myCertificate];

我的问题是，有没有办法在 AFSecurityPolicy 中设置公钥而不是证书？我们的证书偶尔会更改一次，我不想将其传递进去。AFSecurityPolicy.h 中没有 setPublicKeys 方法。 AFSecurityPolicy.m 有一个属性pinnedPublicKeys，但无法设置，因为它不在头文件中。

提前致谢。

【参考方案1】：

密钥是从证书中提取的，可以使用捆绑包中的.cer 文件自动提取，也可以在您手动设置pinnedCertificates 属性时提取。即使旧证书已过期，新证书也可以使用，只要公钥不变。

参见the implementation of setPinnedCertificates:（以及AFPublicKeyForCertificate 函数）。如果您不清楚它是如何工作的，我建议您设置一个断点并在应用启动时单步执行它。

【讨论】：

有道理，我确实看到 AFSecurityPolicy 对我的证书所做的所有事情都是提取我的公钥，实际上我什至可以使用正确的公钥创建一个虚拟证书。