这个问题我之前帮开发者排查过不少次，核心原因是当你用错误密码解锁PKCS12证书时，Security框架会抛出未被捕获的Objective-C异常，而iOS应用默认不会处理这类异常，直接导致崩溃。咱们一步步来修复：

1. 核心修复：捕获证书加载时的异常 #

首先要在加载证书的代码里加入异常捕获逻辑，同时优先通过系统返回的状态码判断错误，而不是只依赖异常捕获。修改你的getCertificateCredetials方法（注意你原方法里的拼写错误：Credetials应该是Credentials）：

- (NSURLCredential*)getCertificateCredentialsWithPassword:(NSString*)password {
    NSArray *paths = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES);
    NSString *documentsDirectory = [paths firstObject];
    // 假设你从UserDefaults里存了选中证书的文件名
    NSString *certFileName = [[NSUserDefaults standardUserDefaults] stringForKey:@"selectedCertificate"];
    NSString *thePath = [documentsDirectory stringByAppendingPathComponent:certFileName];
    NSData *p12Data = [NSData dataWithContentsOfFile:thePath];
    
    if (!p12Data) {
        NSLog(@"证书文件不存在或无法读取");
        return nil;
    }
    
    NSDictionary *options = @{(id)kSecImportExportPassphrase: password};
    CFArrayRef items = NULL;
    OSStatus status = SecPKCS12Import((CFDataRef)p12Data, (CFDictionaryRef)options, &items);
    
    // 先检查系统返回的状态码，再捕获异常
    @try {
        if (status == errSecSuccess && items != NULL && CFArrayGetCount(items) > 0) {
            CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
            SecIdentityRef identityRef = (SecIdentityRef)CFDictionaryGetValue(identityDict, kSecImportItemIdentity);
            
            SecCertificateRef certificateRef = NULL;
            OSStatus certStatus = SecIdentityCopyCertificate(identityRef, &certificateRef);
            if (certStatus != errSecSuccess) {
                NSLog(@"提取证书失败：%d", (int)certStatus);
                if (items) CFRelease(items);
                return nil;
            }
            
            NSArray *certificates = @[(__bridge id)certificateRef];
            NSURLCredential *credential = [NSURLCredential credentialWithIdentity:identityRef 
                                                                     certificates:certificates 
                                                                      persistence:NSURLCredentialPersistencePermanent];
            
            CFRelease(certificateRef);
            return credential;
        } else {
            // 根据状态码判断错误类型
            if (status == errSecAuthFailed) {
                NSLog(@"证书密码错误");
            } else {
                NSLog(@"证书加载失败，状态码：%d", (int)status);
            }
            return nil;
        }
    } @catch (NSException *exception) {
        // 兜底捕获异常，防止崩溃
        NSLog(@"证书加载时发生异常：%@", exception.reason);
        return nil;
    } @finally {
        // 确保释放CF类型的资源，避免内存泄漏
        if (items) CFRelease(items);
    }
}

2. 优化密码输入流程 #

在用户输入密码后，先调用上面的方法验证密码是否有效，而不是直接用错误密码去发起网络请求：

// 假设这是密码输入弹窗的回调方法
- (void)onPasswordEntered:(NSString*)password {
    NSURLCredential *credential = [self getCertificateCredentialsWithPassword:password];
    if (credential) {
        // 密码正确，继续发起网络请求
        [self startServerRequestWithCredential:credential];
    } else {
        // 密码错误，给用户友好提示，让重新输入
        UIAlertController *alert = [UIAlertController alertControllerWithTitle:@"提示" 
                                                                       message:@"证书密码错误，请重新输入" 
                                                                preferredStyle:UIAlertControllerStyleAlert];
        [alert addAction:[UIAlertAction actionWithTitle:@"确定" style:UIAlertActionStyleDefault handler:nil]];
        [self presentViewController:alert animated:YES completion:nil];
    }
}

3. 额外注意点 #

• 不要忽略Security框架的返回状态码：errSecAuthFailed是明确的密码错误状态，优先用这个判断，异常捕获只是兜底方案。
• 确保CF类型资源的释放：比如CFArrayRef items和SecCertificateRef，在finally块里释放，避免内存泄漏。
• 在网络请求的挑战处理中（URLSession:didReceiveChallenge:completionHandler:），也要加入错误处理，不要直接传递无效的凭证给服务器。

这样修改后，即使用户输入错误密码，应用也不会崩溃，而是友好提示用户重新输入，完美解决问题！

内容的提问来源于stack exchange，提问作者lrefopam