在iOS設備上運行的SSL/TLS服務器

Question

可以構建在iOS設備上運行的SSL/TLS服務器嗎？如果是，如何？

我的疑惑與這些問題有關：在設備上，我可以隨時創建一個自簽名證書以便繼續使用嗎？或者我可以告訴SSL/TLS不要使用證書？

在我的iOS應用程序中，我使用的是AsyncSocket。該應用程序在同一時間都是客戶端和服務器。

的客戶端以這種方式實現的：

- (void)onSocket:(AsyncSocket *)sock didConnectToHost:(NSString *)host port:(UInt16)port { 
    // Don't even validate the certificate chain 
    NSDictionary *settings = @{(NSString *)kCFStreamSSLValidatesCertificateChain : (id)kCFBooleanFalse}; 

    [sock startTLS:settings]; 
} 

- (void)onSocketDidSecure:(AsyncSocket *)sock { 
    // omitted: send the message... 
} 

的服務器端（其另一iOS設備上運行的）以這種方式實現的：

- (void)onSocket:(AsyncSocket *)sock didConnectToHost:(NSString *)host port:(UInt16)port { 
    // Don't even validate the certificate chain 
    NSDictionary *settings = @{(NSString *)kCFStreamSSLValidatesCertificateChain : (id)kCFBooleanFalse, 
          (NSString *)kCFStreamSSLIsServer : (id)kCFBooleanTrue}; 

    [sock startTLS:settings]; 
} 

- (void)onSocketDidSecure:(AsyncSocket *)sock { 
    // omitted: read the message... 
} 

但是，當客戶端嘗試連接到服務器時，會調用代理的方法onSocket:willDisconnectWithError:，錯誤號爲Domain=kCFStreamErrorDomainSSL Code=-9848。

Answer 1

可以構建在iOS設備上運行的SSL/TLS服務器嗎？如果是，如何？

絕對。我在模擬器和設備上都使用了帶有SSL/TLS的CocoaHTTPServer用於測試目的。要使用客戶端證書，您需要進行一些修改，其中大部分都位於其GitHub問題列表中的patch。

你可以在iOS上實時創建證書嗎？從來沒聽說過。

你能告訴SSL不使用證書嗎？嗯。即使你可以，使用SSL有什麼意義？這些證書是「保證」運輸的。 SSL是一種信任模式，鏈路兩端的各方評估另一方的信任。如果您正在動態創建證書，或者嘗試不使用證書期限，那麼您將使該信任模型失效 - 您無法獲取任何東西。