自从https推出以后，客户端对网络安全的要求程度也越来越高。甚至在iOS9之后，苹果强制要求必须支持https请求。

https是什么呢？它又是如何保证数据安全的呢？

简单来说，https就是http+TLS/SSL。就是在http上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，也就说传输中的数据都是加密的，如果不知道私钥，是无法真正知道传输内容的真正意思的。

整个https单向验证流程简单总结如下：

就是用户发起请求，服务器响应后返回一个证书，证书中包含一些基本信息和公钥。用户拿到证书后，去验证这个证书是否合法，不合法，则请求终止。合法则生成一个随机数，作为对称加密的密钥，用服务器返回的公钥对这个随机数加密。然后返回给服务器。服务器拿到加密后的随机数，利用私钥解密，然后再用解密后的随机数（对称密钥），把需要返回的数据加密，加密完成后数据传输给用户。最后用户拿到加密的数据，用一开始的那个随机数（对称密钥），进行数据解密。整个过程完成。

当然这仅仅是一个单向认证，https还会有双向认证，相对于单向认证也很简单。仅仅多了服务端验证客户端这一步。

那么在AFNetworking中，我们要完成自签名证书配置：

1// 自签名证书在路径

2NSString *certFilePath = [[NSBundle mainBundle] pathForResource:@"service" ofType:@"cer"];

3// 自签名证书转换成二进制数据

4NSData *certData = [NSData dataWithContentsOfFile:certFilePath];

5// 将二进制数据放到NSSet中

6NSSet *certSet = [NSSet setWithObject:certData];

7/* AFNetworking中的AFSecurityPolicy实例化方法

8 第一个参数：

9AFSSLPinningModeNone, //不验证

10AFSSLPinningModePublicKey, //只验证公钥

11AFSSLPinningModeCertificate, //验证证书

12第二个参数：存放二进制证书数据的NSSet

13*/

14AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:certSet];

15// shareManager 是继承自AFHTTPSessionManager的一个类的实例对象

16sharedManager.securityPolicy = policy;

这样在请求时，如果服务器要校验自签名证书就会调用AFSecurityPolicy类中以下方法

1- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust

2 forDomain:(NSString *)domain

AFNetworking就是在这个方法中进行的单向验证。如果有需要双向验证的也需要重写这个方法，以实现双向验证。（双向验证在银行类等app中使用的较多）

在该方法中使用自签名证书可能会出现的一个问题就是

复制代码 代码如下:

[pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)];

这行代码有可能数组中添加了nil，即自签名证书没有获取到。

解决方法：

将后端发过来的.crt证书，修改后缀.cer，导入钥匙串。再从钥匙串导出该证书，拉到项目里直接使用

其本质原因是后端的自签名证书需要进行base64反编码才能使用。

总结语：

通过对自签名证书这块的研究，对https有了更加深入、更深刻的认识，同时对AFNetworking中AFSecurityPolicy的源码进行了阅读和理解。

提供长期稳定不掉线、可带推送功能的ios企业签名服务，跳过漫长艰难审核过程，直接为用户提供高速下载安装服务：