iOS 11安裝的證書不能自動信任（自簽名）

Question

在我們的內部網絡上，我們使用自簽名CA證書。多年來，Safari和我們的iOS產品都一直運行在iOS 10下。我們只需在任何新設備或模擬器上安裝CA證書，即使使用ATS，也可以正常工作。這允許訪問我們所有的內部測試服務器，而不必單獨信任每個服務器。

與iOS 11安裝CA證書開始不再允許Safari或我們的應用程序信任證書的任何服務器。我們收到了我們的應用程序啓用了CFNETWORK_DIAGNOSTICS下列有關細節：

錯誤域= kCFErrorDomainCFNetwork代碼= -1200
_kCFNetworkCFStreamSSLErrorOriginalValue = -9802
_kCFStreamErrorDomainKey =
_kCFStreamErrorCodeKey = - 已發生9802
NSLocalizedDescription =一個SSL錯誤和安全連接的服務r不能製造。
NSLocalizedRecoverySuggestion =你想不想連接到服務器？

我花了相當多的時間試圖解決這個問題，淘洗StackOverflow和其他網絡。儘管我們在我們的應用中使用AFNetworking，但似乎並不相關，因爲Safari不再通過CA信任這些服務器。通過NSAllowsArbitraryLoads禁用ATS允許訪問服務器，但顯然不是解決方案。

我們的-URLSession:didReceiveChallenge:completionHandler代碼沒有變化，我們通過challenge.protectionSpace.serverTrust有一個適當的（工作多年）挑戰響應的實現。

我已經重新評估，並檢測了兩個CA和服務器證書各種方式我能想到的，他們無處不在，除了工作的iOS 11.什麼可能在ATS已經改變了11的iOS可能會導致這個問題？

Answer 1

在寫這個問題，我發現了答案。從Safari安裝CA不再自動信任它。我必須從證書信任設置面板手動信任它（也在this question中提到）。

我爭論取消的問題，但我認爲它可能是有幫助的一些相關的代碼和日誌細節有人可能會尋找。此外，我從來沒有遇到過這個問題，直到iOS 11。我甚至回去並重新確認它可以自動通過iOS 10運行。

我以前從未需要觸摸該設置面板，因爲任何已安裝的證書都是自動信任的。也許它會在iOS 11發佈時改變，但我對此表示懷疑。希望這可以幫助我省下浪費時間的人。

如果有人知道爲什麼這表現不同對一些人在不同版本的iOS，我很樂意在評論就知道了。

Answer 2

這發生在我身上也undating到IOS11在我的iPhone之後。當我嘗試連接到公司網絡時，它會提出公司證書並表示它不被信任。我按「信任」按鈕，連接失敗，證書不會出現在可信任的證書列表中。

Answer 3

蘋果手三類證書：Trusted,Always Ask和Blocked。如果您的證書類型爲Blocked和Always Ask列表，您將遇到此問題。在Safari上顯示它的喜歡：

，你可以找到關於設置Always Ask證書>常規>類型關於>證書信任設置

還有就是List of available trusted root certificates in iOS 11

Blocking Trust for WoSign CA Free SSL Certificate G2

Answer 4

推薦的解決方案是安裝並信任一個自簽名證書（根）。假設您創建了自己的CA，並且認證的層次結構正確，則不需要更改服務器信任評估。建議這樣做，因爲它不需要對代碼進行任何更改。

1. 生成CA和證書（您可以使用OpenSSL：Generating CA and self-signed certificates
2. 根證書（* .CER文件）的設備上安裝 - 您可以通過Safari瀏覽器打開它，它應該重定向設置
3. 當認證安裝，到證書信任設置（設置>常規>關於>證書信任設置）在MattP答案。

如果是不可能的，那麼你需要改變服務器的信任評價。

本文檔中的更多信息：Technical Q&A QA1948 HTTPS and Test Servers