NSURLSession using client SSL cert gives “Error Domain=NSURLErrorDomain Code=-999 ”cancelled“

今天一个同学遇到了这个问题，具体我也不怎么清楚，没有看到他封装的方法参数，只能靠猜。下面分享一下上面所出现的信息：

信任一切证书

---

@阮一峰的网络日志

SSL：

屏幕快照 2016-11-22 17.17.20.png

作用
不使用SSL/TLS的HTTP通信，就是不加密的通信。所有信息明文传播，带来了三大风险。
（1） 窃听风险（eavesdropping）：第三方可以获知通信内容。
（2） 篡改风险（tampering）：第三方可以修改通信内容。
（3） 冒充风险（pretending）：第三方可以冒充他人身份参与通信。

期望效果
（1） 所有信息都是加密传播，第三方无法窃听。
（2） 具有校验机制，一旦被篡改，通信双方会立刻发现。
（3） 配备身份证书，防止身份被冒充。

基本的运行过程
SSL/TLS协议的基本思路是采用公钥加密法，也就是说，客户端先向服务器端索要公钥，然后用公钥加密信息，服务器收到密文后，用自己的私钥解密。
但是，这里有两个问题。

（1）如何保证公钥不被篡改？

---

# 解决方法：将公钥放在[数字证书](http://en.wikipedia.org/wiki/Digital_certificate)中。只要证书是可信的，公钥就是可信的。

（2）公钥加密计算量太大，如何减少耗用的时间？

---

  解决方法：每一次对话（session），客户端和服务器端都生成一个"对话密钥"（session key），用它来加密信息。由于"对话密钥"是对称加密，所以运算速度非常快，而服务器公钥只用于加密"对话密钥"本身，这样就减少了加密运算的消耗时间。

因此，SSL/TLS协议的基本过程是这样的：

（1） 客户端向服务器端索要并验证公钥。
（2） 双方协商生成"对话密钥"。
（3） 双方采用"对话密钥"进行加密通信。

OSStatus 捕获异常代码，实际上它是一个枚举：

/* unknown certificate */
errSSLPeerCertUnknown = -9829,

/* bad certificate format */
errSSLBadCert = -9808,

/* unknown certificate */
errSSLPeerCertUnknown = -9829,

那么你在处理安全问题时就应该判断一下它的状态：（这里推荐使用p12,你懂的）

NSString *path = [[NSBundle mainBundle] pathForResource:@"certificateName" ofType:@"p12"]; 
NSData *p12data = [NSData dataWithContentsOfFile:path]; 

CFDataRef inP12data = (__bridge CFDataRef)p12data; SecIdentityRef myIdentity; 
SecTrustRef myTrust; 
OSStatus status = extractIdentityAndTrustCorpInv(inP12data, &myIdentity, &myTrust);

然后，过滤出错状态：

if (status == 0) { SecCertificateRef myCertificate; 
SecIdentityCopyCertificate(myIdentity, &myCertificate); 
const void *certs[] = { myCertificate };
CFArrayRef certsArray = CFArrayCreate(NULL, certs, 1, NULL); 
newCredential = [NSURLCredential credentialWithIdentity:myIdentity certificates:(__bridge NSArray*)certsArray persistence:NSURLCredentialPersistenceForSession]; 
}