项目需求是:满足测试人员在ios设备上切换应用的新旧版本。
作为企业级应用,常见的分发方式是通过浏览器访问plist文件。但这面临一个最关键的问题:苹果会验证存放plist的服务是否有正规CA颁发的SSL证书。
申请StartSSL证书
诚然,第一反应是去申请一个免费的CA SSL证书,搜索一阵了解到StartCom是少数提供免费证书的CA机构。
于是笔者先在百度云购买了个便宜的域名,域名解析到内网IP,然后用该域名去StartCom申请了个DV SSL证书,具体步骤参考Startssl 现在就启用 HTTPS,免费的!
申请速度很快,拿到证书后,笔者配置到内网的Nginx代理,具体配置暂时不表,因为配完发现浏览器显示警告,并没有按预期那样有绿色小锁。点开浏览器详细信息,发现浏览器不信任StartCom的中级证书(Chrome),笔者换成Safari,同样不信任...
怀着疑惑调查一番,发现坑爹了..原来StartCom因为不规范操作,16年9月后被Chrome、Safari、Mozilla等浏览器封杀(仅限未来一年颁发的免费DV证书,个中瓜葛似乎牵扯到360)。
其他证书机构
- Lets Encrypt , 这是网上推荐最多的,但其颁发方式不适用我们这种内网的服务器,只好作罢。
- 百度云, 因为事先在百度云注册了域名,索性看下其提供的免费证书,然后就呵呵了,先是我注册的pw后缀域名不被其合作CA机构认可,然后百度云只支持SSL证书部署在其云服务器上,需30天后才允许导出。
- 腾讯云,腾讯云的免费DV证书由TrustAsia提供,申请成功后可以导出,但注册域名的时候也需要注意是否被CA认可。
自签名证书
其实,一直是自己陷入了思维困境,自以为plist文件必须放在有正规SSL证书的服务上,事实上,如果ios设备里信任某个根证书,Safari自然会信任其签发的其他证书,也就意味着,完全可以使用自签发的证书去配置内网服务。
openssl生成证书
Mac OS自带该模块,linux也可以下载openssl相应模块
-
openssl genrsa -des3 -out server.key 2048, 生成私钥 -
openssl req -new -key server.key -out server.csr证书签名请求, 需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。 -
cp server.key server.key.org,openssl rsa -in server.key.org -out server.key, 删除私钥中的密码,在创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次启动Nginx服务时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码 openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Nginx配置证书
具体Nginx环境搭建就不讲了,记得编译的时候加上http-ssl-module;
nginx.conf配置:
upstream nodejs {
server localhost:3100
}
server {
listen 8100 ssl;
ssl on;
server_name domainName
ssl_certificate path/to/server.crt
ssl_certificate_key path/to/server.key
location / {
proxy_pass http://localhost:3100;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
location /public {
root /usr/local/var/www;
}
}
我这里代理的是Nodejs服务器,ssl默认端口是443,因内网封了这个端口,所以随便改了个其他不冲突的端口,server_name填你绑定的域名。
参考iOS适配HTTPS,创建一个自签名的SSL证书(x509)具体步骤
设备安装证书
设备未安装证书前,Safari打开Nginx服务地址,会弹出不信任的警告框,并提供我们三个操作选择,这时候,不能点击继续并接受。这种操作只是让Safari添加一个 SSL例外 :防止Safari对此站点做出的警告提示。实际上并不会将证书安装到iOS中,以成为可信任的证书。同台设备的其它程序在连接该站点时仍然会失败。
笔者这里安装证书采用邮件方式,具体可参考在iOS上使用自签名的SSL证书
plist部署
Nginx代理的nodejs服务只负责接受每个应用版本对应的plist文件,具体的ipa还放在原http服务器上,省去原服务端接口转Https可能带来的麻烦
p.s: plist中ipa的获取路径里最好不要包含中文字符,会出现无法安装情况。
后续
在使用自签发证书不久,在腾讯云申请的证书下来了,(因为我把平台自动生成的TXT解析记录删除了,导致审核一直没过,这里夸下腾讯的服务,对反馈的处理很快)。将Nginx之前配的自签发证书替换为腾讯云提供的Nginx证书后,设备不安装证书也可以直接获取plist了~
