我已经看到了很多关于这个的问题,我想我会尽可能地写一个完整的答案和例子。
注意:将WKWebView 与自签名证书一起使用,请参阅此answer
HttpClient 实现
注意:在本例中使用badssl.com
托管(默认)
System.Net.Http.HttpRequestException: 发送请求时出错--->
System.Net.WebException:错误:TrustFailure(发生一个或多个错误。)--->
System.AggregateException:发生一个或多个错误。 --->
System.Security.Authentication.AuthenticationException:对 SSPI 的调用失败,请参阅内部异常。 --->
Mono.Security.Interface.Tl
原来的 Mono Managed 提供程序已经真的在使用了很长时间,并且仅支持 TLS1.0,就安全性和性能而言,我将转向使用 NSUrlSession 实现。
CFNetwork (iOS 6+)
注意:由于这个 iOS 版本现在已经相当老了,我个人不再针对它,所以我把这个留空......(除非有人真的需要我查找我的笔记;-)
NSUrlSession (iOS 7+)
Xamarin 提供了一个基于 iOS 的 NSUrlSession 的 HttpMessageHandler 子类 (NSUrlSessionHandler)。
对自签名证书单独使用它会导致:
System.Net.WebException:发生 SSL 错误,无法与服务器建立安全连接。 --->
Foundation.NSErrorException:
引发了“Foundation.NSErrorException”类型的异常。
问题在于自签名证书被 iOS 视为不安全且不受信任,因此您必须对您的应用应用 ATS 例外,以便 iOS 知道您的应用在 Info.plist 中不受信任。
<key>NSAppTransportSecurity</key>
<dict>
<key>NSExceptionDomains</key>
<dict>
<key>self-signed.badssl.com</key>
<dict>
<key>NSExceptionAllowsInsecureHTTPLoads</key>
<true/>
</dict>
</dict>
</dict>
现在 iOS 知道您的应用正在进行不受信任的调用,HttpClient 请求现在将导致此错误:
System.Net.WebException:此服务器的证书无效。您可能正在连接到一个伪装成 self-signed.badssl.com 的服务器,这可能会使您的机密信息面临风险。 --->
Foundation.NSErrorException:引发了“Foundation.NSErrorException”类型的异常。
此错误是由于即使允许 ATS 异常,iOS 提供的 默认 NSUrlSession 会将其标准 NSUrlAuthenticationChallenge 应用于证书并由于 self -signed 证书永远无法真正进行身份验证(即使通过客户端固定),因为它的链中不包含 iOS 信任的根证书颁发机构 (CA)。
因此你需要拦截和绕过 iOS 提供的证书安全检查(是的,一个大的安全警报,闪烁的红灯等......)
但是,您可以通过创建一个用于绕过的NSUrlSessionDataDelegate 子类来做到这一点。
public class SelfSignedSessionDataDelegate : NSUrlSessionDataDelegate, INSUrlSessionDelegate
{
const string host = "self-signed.badssl.com";
public override void DidReceiveChallenge(NSUrlSession session, NSUrlAuthenticationChallenge challenge, Action<NSUrlSessionAuthChallengeDisposition, NSUrlCredential> completionHandler)
{
switch (challenge.ProtectionSpace.Host)
{
case host:
using (var cred = NSUrlCredential.FromTrust(challenge.ProtectionSpace.ServerSecTrust))
{
completionHandler.Invoke(NSUrlSessionAuthChallengeDisposition.UseCredential, cred);
}
break;
default:
completionHandler.Invoke(NSUrlSessionAuthChallengeDisposition.PerformDefaultHandling, null);
break;
}
}
}
现在您需要将该NSUrlSessionDataDelegate 应用到NSUrlSession,并在创建NSUrlSessionHandler 时使用该新会话,该会话将在HttpClient 的构造函数中提供。
var url = "https://self-signed.badssl.com";
using (var selfSignedDelegate = new SelfSignedSessionDataDelegate())
using (var session = NSUrlSession.FromConfiguration(NSUrlSession.SharedSession.Configuration, (INSUrlSessionDelegate)selfSignedDelegate, NSOperationQueue.MainQueue))
using (var handler = new NSUrlSessionHandler(session))
using (var httpClient = new HttpClient(handler))
using (var response = await httpClient.GetAsync(url))
using (var content = response.Content)
{
var result = await content.ReadAsStringAsync();
Console.WriteLine(result);
}
注意:仅作为示例,通常您会创建一个单一的 Delegate、NSUrlSession、HttpClient、NSUrlSessionHandler 并将其重新用于您的所有请求(即单例模式)
您的请求现在有效:
<html>
<head>
<title>self-signed.badssl.com</title>
</head>
<body><div id="content"><h1 style="font-size: 12vw;">
self-signed.<br>badssl.com
</h1></div>
</body>
</html>
注意:向 Xamarin 的 NSUrlSessionHandler 提供您自己的自定义 NSUrlSession 的选项确实是新(2017 年 11 月),目前不在发布版本中( alpha、beta 或 stable),但当然,源代码可在以下位置获得:
使用NSUrlSession 代替HttpClient:
您也可以针对自签名证书直接使用NSUrlSession 而不是HttpClient。
var url = "https://self-signed.badssl.com";
using (var selfSignedDelegate = new SelfSignedSessionDataDelegate())
using (var session = NSUrlSession.FromConfiguration(NSUrlSession.SharedSession.Configuration, (INSUrlSessionDelegate)selfSignedDelegate, NSOperationQueue.MainQueue))
{
var request = await session.CreateDataTaskAsync(new NSUrl(url));
var cSharpString = NSString.FromData(request.Data, NSStringEncoding.UTF8).ToString();
Console.WriteLine(cSharpString);
}
注意:仅作为示例,通常您会创建一个 Delegate 和 NSUrlSession 并将其重新用于您的所有请求,即单例模式
真正的解决方案?使用免费安全证书:
IHMO,避免一起使用自签名证书,即使是在开发环境中,并使用免费证书服务之一,避免应用 ATS 异常、拦截/绕过 iOS 安全性的自定义代码等所有令人头疼的问题......以及让您的应用网络服务真正安全。
我个人使用 Let's Encrypt: