GCDAsyncSocket с аутентификацией клиента

Я использую CocoaAsyncSocket для отправки данных на наш сервер без SSL. Теперь на стороне сервера реализован SSL/TLS с аутентификацией клиента. Чтобы реализовать это в нашем приложении, мне были предоставлены следующие три файла:

  1. ca-chain.cert.pem
  2. клиент-test.cert.pem
  3. клиент-test.key.pem

Я преобразовал файлы в читаемые форматы iOS, как показано ниже:

  1. ca-chain.cert.pem в ca-cert.cer
  2. клиент-test.cert.pem в client_cert.cer
  3. client-test.key.pem в client_key.p12

У меня работает до SSL. Но возникли проблемы с аутентификацией клиента.

Вот мой код:

didConnectToHost:

- (void)socket:(GCDAsyncSocket *)sock didConnectToHost:(NSString *)host port:(uint16_t)port;
{
    // Configure SSL/TLS settings

    NSMutableDictionary *settings = [NSMutableDictionary dictionaryWithCapacity:3];

    // Allow self-signed certificates
    CFArrayRef certsArray = [self loadCertificates];
    [settings setObject:@0 forKey:GCDAsyncSocketSSLProtocolVersionMax];
    [settings setObject:[NSNumber numberWithBool:YES] forKey:GCDAsyncSocketManuallyEvaluateTrust];
    [settings setObject:(id)CFBridgingRelease(certsArray) forKey:GCDAsyncSocketSSLCertificates];
    [sock startTLS:settings];
}

didReceiveTrust:

- (void)socket:(GCDAsyncSocket *)sock didReceiveTrust:(SecTrustRef)trust completionHandler:(void (^)(BOOL shouldTrustPeer))completionHandler {
    NSString *caCertPath = [[NSBundle mainBundle] pathForResource:@"ca-cert" ofType:@"cer"];
    NSData *caCertData = [NSData dataWithContentsOfFile:caCertPath];

    NSString *clientCertPath = [[NSBundle mainBundle] pathForResource:@"client_cert" ofType:@"cer"];
    NSData *clientCertData = [NSData dataWithContentsOfFile:clientCertPath];

    OSStatus status = -1;
    SecTrustResultType result = kSecTrustResultDeny;

    if(caCertData && clientCertData)
    {
    SecCertificateRef   cert1;
    cert1 = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) caCertData);

    SecCertificateRef   cert2;
    cert2 = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) clientCertData);

    const void *ref[] = {cert1,cert2};
    CFArrayRef ary = CFArrayCreate(NULL, ref, 2, NULL);

    SecTrustSetAnchorCertificates(trust, ary);

    status = SecTrustEvaluate(trust, &result);
}
else
{
    NSLog(@"local certificates could not be loaded");
    completionHandler(NO);
}

if ((status == noErr && (result == kSecTrustResultProceed || result == kSecTrustResultUnspecified)))
{
    completionHandler(YES);
}
else
{
    CFArrayRef arrayRefTrust = SecTrustCopyProperties(trust);
    NSLog(@"error in connection occured\n%@", arrayRefTrust);

    completionHandler(NO);
}
}

Сертификаты загрузки:

-(CFArrayRef) loadCertificates
{
NSString *clientKeyPath = [[NSBundle mainBundle] pathForResource:@"client_key" ofType:@"p12"];
NSData* clientKeyData = [NSData dataWithContentsOfFile:clientKeyPath];
NSLog(@"key : %@",[[NSString alloc] initWithData:clientKeyData encoding:NSASCIIStringEncoding]);

CFDataRef inPKCS12Data = (CFDataRef)CFBridgingRetain(clientKeyData);
CFStringRef password = CFSTR("_mypassword_");
const void *keys[] = { kSecImportExportPassphrase };
const void *values[] = { password };
CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL);

CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);

OSStatus securityError = SecPKCS12Import(inPKCS12Data, options, &items);
CFRelease(options);
CFRelease(password);

if(securityError == errSecSuccess)
    NSLog(@"Success opening p12 certificate.");

CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
SecIdentityRef myIdent = (SecIdentityRef)CFDictionaryGetValue(identityDict,
                                                              kSecImportItemIdentity);


NSString *clientCertPath = [[NSBundle mainBundle] pathForResource:@"client_cert" ofType:@"cer"];
NSData *clientCertData = [NSData dataWithContentsOfFile:clientCertPath];

SecCertificateRef clientCert = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) clientCertData);

//SecIdentityRef certArray[1] = { myIdent };

const void *ref[] = {myIdent, clientCert};
CFArrayRef myCerts = CFArrayCreate(NULL, ref, 2, NULL);



//    NSString *caCertPath = [[NSBundle mainBundle] pathForResource:@"ca-cert" ofType:@"cer"];
//    NSData *caCertData = [NSData dataWithContentsOfFile:caCertPath];
//
//    SecCertificateRef caCert = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) caCertData);
//
//    const void *ref[] = {clientCert, myIdent, caCert};
//    CFArrayRef myCerts = CFArrayCreate(NULL, ref, 3, NULL);


return myCerts;
}

Я боролся с аутентификацией клиента в течение двух дней. Я получаю эту ошибку на данный момент:

2017-03-13 15:35:40.777 MPS[79612:1478858] GCDAsyncSocket socketDidDisconnect Error - Error Domain=kCFStreamErrorDomainSSL Code=-9806 "(null)" UserInfo={NSLocalizedRecoverySuggestion=Error code definition can be found in Apple's SecureTransport.h}

Я читал, что в библиотеке CocoaAyncSocket возникают проблемы с аутентификацией клиента при ручной оценке доверия. Я попробовал обходной путь, как указано здесь: Поддержка аутентификации на стороне клиента с оценкой доверия вручную Все еще нет удача. Я не мог найти то, что мне не хватает.

Заранее спасибо! -Ума


ios ssl-client-authentication cocoaasyncsocket
person LoveMeSomeFood    schedule 13.03.2017    source источник

Ответы (1)


arrow_upward
4
arrow_downward

С кодом все хорошо. Надеюсь, это поможет кому-то найти ответ. Однако проблема была с преобразованием файлов. Когда я использовал преобразованные файлы от другого человека, это сработало.

person LoveMeSomeFood    schedule 11.04.2017