在 AFNetworking 中支持 SNI

Posted 2023-02-23

【中文标题】在 AFNetworking 中支持 SNI

【英文标题】：Supporting SNI in AFNetworking

【发布时间】：2015-05-13 10:47:46

【问题描述】：

我有一个根证书，用于在服务器上使用不同的子域名进行签名，这基本上是后端 SNI 的实现。现在如何使用该证书和子域名来验证请求。

【参考方案1】：

SNI 支持开箱即用。根据我的经验，它可以工作（单个 IP 上的两个二级域）

如果它不适合您，我看到 3 个原因：

您的后端配置不正确。您可以使用 Safari 检查服务器是否返回了预期的证书。 您的证书是自签名的。在这种情况下，您应该检查 AFSecurityPolicy 以获取固定证书，SNI 没有什么特别之处。 您的证书对子域无效。这也可以通过 AFSecurityPolicy 进行检查。

【讨论】：

我已确认我的后端配置正确，因为具有主机名的相同证书正在用于 android Webservice 调用。证书对域名有效，对于验证子域，我们定义了主机名。还正确固定了证书。你知道如何在 ios 中实现它。

如果您使用证书固定，我将从 AFSecurityPolicy.evaluateServerTrust 中的断点开始，您可以在其中检查连接建立的许多方面：如果证书检查已经开始；客户收到的证书；该方法的哪一步返回NO。顺便问一下，您目前遇到的错误是什么？

同样evaluateServerTrust返回NO，这行代码返回NO，if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) return NO; 如果您知道为什么它返回 NO，请告诉我。

@WildFire 所以你的情况是#3 - 比如域是example1.com，证书对*.example2.com 有效？在这种情况下，很明显您应该将 allowInvalidCertificates 设置为 YES，以忽略域的验证。然后您的应用程序将依赖固定证书 - 只需将其以 DER 格式添加到扩展名为“.cer”的项目中，它将在 -defaultPinnedCertificates 中自动使用。可以通过这个命令获取合适的文件：openssl s_client -servername api.example.org -connect api.example.org:443 </dev/null 2>/dev/null | openssl x509 -outform DER > ~/api.example.org.cer

我已经按照您的描述做了所有事情，但仍然无法正常工作，基本上我有域 example.com 的根证书，API 托管在子域 domainname.example.com 上。基本上，对于相同的基本名称，我们有不同的子域。我们希望通过对 SNI 的支持为所有子域使用相同的根证书。