iOS AFN https请求设置证书验证

对于AFN设置https请求，有两个途径，一个是避开域名验证，一个是配置证书。下面就来记录一下这两个方法，方便以后使用。（好记性不如烂笔头）

• 避开域名验证

1、先在info.plist配置

NSAppTransportSecurity  
      
 NSAllowsArbitraryLoads  
   
      

2、设置AFSecurityPolicy

    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];
    securityPolicy.validatesDomainName = NO;
    securityPolicy.allowInvalidCertificates = YES;
     AFHTTPSessionManager *sessionManager = [AFHTTPSessionManager manager];
    sessionManager.securityPolicy = securityPolicy;

• 配置证书

1、先去网站上下载证书，如下图所示

image.png

image.png

如果服务端给的是crt后缀的证书，因为iOS客户端用到的cer证书，所以需要自行转换；
.crt转.cer证书方法：
同样方法将.crt证书下载到桌面上，打开终端，cd到.crt证书的路劲下，
执行命令
openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der
就会在桌面上看到一个.cer的证书。双击导入电脑，然后在钥匙串中找到证书，并设置信任。
直接把转换好的cer文件拖动到工程中
2、在AFN里面设置

    AFHTTPSessionManager *sessionManager = [[AFHTTPSessionManager manager] initWithBaseURL:[NSURL URLWithString:Base_URL]];
    [sessionManager setSecurityPolicy:[self customSecurityPolicy]];

- (AFSecurityPolicy *)customSecurityPolicy {
    
    // 先导入证书 证书由服务端生成，具体由服务端人员操作
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"app.wangdasong.top" ofType:@"cer"];//证书的路径
    NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
    
    // AFSSLPinningModeCertificate 使用证书验证模式
    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    // allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO
    // 如果是需要验证自建证书，需要设置为YES
    securityPolicy.allowInvalidCertificates = YES;
    
    //validatesDomainName 是否需要验证域名，默认为YES;
    //假如证书的域名与你请求的域名不一致，需把该项设置为NO；如设成NO的话，即服务器使用其他可信任机构颁发的证书，也可以建立连接，这个非常危险，建议打开。
    //置为NO，主要用于这种情况：客户端请求的是子域名，而证书上的是另外一个域名。因为SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是无法验证通过的；当然，有钱可以注册通配符的域名*.google.com，但这个还是比较贵的。
    //如置为NO，建议自己添加对应域名的校验逻辑。
    securityPolicy.validatesDomainName = NO;
    
    securityPolicy.pinnedCertificates = [[NSSet alloc]initWithObjects:cerData, nil];
    
    return securityPolicy;
}  

错误信息收录（以后遇到会持续更新）

A security policy configured with AFSSLPinningModeCertificate can only be applied on a manager with a secure base URL (i.e. https)
其实这个错误已经告诉我们是证书安全的问题，我们在封装网络请求的时候

AFHTTPSessionManager * manager = [AFHTTPSessionManager manager];//只写了这部分，现在要求这样写：

AFHTTPSessionManager * manager = [[AFHTTPSessionManager manager]initWithBaseURL:[NSURL URLWithString:url]];//URL就是你们服务器的URL前缀

❗️[AFHTTPSessionManager manager]这个需要写个单例，不然就会内存泄漏