使用自签发证书实现IOS应用的内网分发

项目需求是：满足测试人员在ios设备上切换应用的新旧版本。
作为企业级应用，常见的分发方式是通过浏览器访问plist文件。但这面临一个最关键的问题：苹果会验证存放plist的服务是否有正规CA颁发的SSL证书。

申请StartSSL证书

诚然，第一反应是去申请一个免费的CA SSL证书，搜索一阵了解到StartCom是少数提供免费证书的CA机构。
于是笔者先在百度云购买了个便宜的域名，域名解析到内网IP，然后用该域名去StartCom申请了个DV SSL证书，具体步骤参考Startssl 现在就启用 HTTPS，免费的！
申请速度很快，拿到证书后，笔者配置到内网的Nginx代理，具体配置暂时不表，因为配完发现浏览器显示警告，并没有按预期那样有绿色小锁。点开浏览器详细信息，发现浏览器不信任StartCom的中级证书（Chrome），笔者换成Safari，同样不信任...
怀着疑惑调查一番，发现坑爹了..原来StartCom因为不规范操作，16年9月后被Chrome、Safari、Mozilla等浏览器封杀（仅限未来一年颁发的免费DV证书，个中瓜葛似乎牵扯到360）。

其他证书机构

• Lets Encrypt ， 这是网上推荐最多的，但其颁发方式不适用我们这种内网的服务器，只好作罢。
• 百度云， 因为事先在百度云注册了域名，索性看下其提供的免费证书，然后就呵呵了，先是我注册的pw后缀域名不被其合作CA机构认可，然后百度云只支持SSL证书部署在其云服务器上，需30天后才允许导出。
• 腾讯云，腾讯云的免费DV证书由TrustAsia提供，申请成功后可以导出，但注册域名的时候也需要注意是否被CA认可。

自签名证书

其实，一直是自己陷入了思维困境，自以为plist文件必须放在有正规SSL证书的服务上，事实上，如果ios设备里信任某个根证书，Safari自然会信任其签发的其他证书，也就意味着，完全可以使用自签发的证书去配置内网服务。

openssl生成证书

Mac OS自带该模块，linux也可以下载openssl相应模块

1. openssl genrsa -des3 -out server.key 2048, 生成私钥
2. openssl req -new -key server.key -out server.csr 证书签名请求， 需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。
3. cp server.key server.key.org , openssl rsa -in server.key.org -out server.key， 删除私钥中的密码，在创建私钥的过程中，由于必须要指定一个密码。而这个密码会带来一个副作用，那就是在每次启动Nginx服务时，都会要求输入密码，这显然非常不方便。要删除私钥中的密码
4. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Nginx配置证书

具体Nginx环境搭建就不讲了，记得编译的时候加上http-ssl-module;
nginx.conf配置：

upstream nodejs {
    server localhost:3100
}
server { 
    listen 8100 ssl;
    ssl on;
    server_name domainName
    
    ssl_certificate path/to/server.crt
    ssl_certificate_key path/to/server.key

   location / {

    proxy_pass http://localhost:3100;

    proxy_http_version 1.1;

    proxy_set_header Upgrade $http_upgrade;

    proxy_set_header Connection 'upgrade';

    proxy_set_header Host $host;

    proxy_cache_bypass $http_upgrade;

  }

  location /public {

    root /usr/local/var/www;

  }

}

我这里代理的是Nodejs服务器，ssl默认端口是443，因内网封了这个端口，所以随便改了个其他不冲突的端口，server_name填你绑定的域名。

参考iOS适配HTTPS，创建一个自签名的SSL证书（x509）具体步骤

设备安装证书

设备未安装证书前，Safari打开Nginx服务地址，会弹出不信任的警告框，并提供我们三个操作选择，这时候，不能点击继续并接受。这种操作只是让Safari添加一个 SSL例外 ：防止Safari对此站点做出的警告提示。实际上并不会将证书安装到iOS中，以成为可信任的证书。同台设备的其它程序在连接该站点时仍然会失败。

Safari

笔者这里安装证书采用邮件方式，具体可参考在iOS上使用自签名的SSL证书

plist部署

Nginx代理的nodejs服务只负责接受每个应用版本对应的plist文件，具体的ipa还放在原http服务器上，省去原服务端接口转Https可能带来的麻烦

p.s: plist中ipa的获取路径里最好不要包含中文字符，会出现无法安装情况。

后续

在使用自签发证书不久，在腾讯云申请的证书下来了，（因为我把平台自动生成的TXT解析记录删除了，导致审核一直没过，这里夸下腾讯的服务，对反馈的处理很快）。将Nginx之前配的自签发证书替换为腾讯云提供的Nginx证书后，设备不安装证书也可以直接获取plist了~