开发者 Mac 系统中生成一对非对称加密算法的公私钥 M,将公钥和开发者信息生成 CSR 文件给到苹果服务器 苹果有自己的公私钥 K,其中公钥 K 存在每一台的 iPhone 设备上,私钥 K 则保存在苹果服务器。根据 CSR 内容利用私钥 K 进行签名并生成证书,同时也根据在开发者后台填写的信息(Bundle ID,权限等)和证书生成描述文件(mobileprovision) 在开发者设备上打包时,会把描述文件一并打包到 ipa 中,并利用私钥 M 对包的内容进行签名 在安装到设备上时,会进行两次验证:利用设备上的公钥 K 校验 ipa 包内的证书文件(证书是通过苹果私钥 K 签名),校验证书是否有效 上一步证书校验通过后,会拿出证书内的公钥 M 来校验 ipa 包(ipa 包是通过开发者私钥 M签名),校验 ipa 包是否可安装
苹果通过以上的双重验证机制,来确保在开发阶段 App 的安装行为的合法性。当将 App 提交到 App Store 后,苹果会对 App 重新加密签名,安装时就只需验证苹果的签名。
推荐一个重签名工具:iOS-App-Signer
三.各种证书详解
1.开发者账号
个人:99 美元/年,不需要邓白氏码,可上线AppStore
公司:99 美元/年,需要邓白氏码,可上线AppStore,允许团队协作
企业:299 美元/年,需要邓白氏码,不可上线AppStore,允许团队协作
2.iOS证书
iOS证书是用来证明iOS App内容(executable code)的合法性和完整性的数字证书。对于想安装到真机或发布到AppStore的应用程序(App),只有经过签名验证(Signature Validated)才能确保来源可信,并且保证App内容是完整、未经篡改的
开发证书:Development证书用来开发和调试应用程序 发布证书:Production主要用来分发应用程序 普通个人开发账号最多可注册iOS Development/Distribution证书各2个,用户可在网站上删除(Revoke)已注册的Certificate3.App ID和设备
较为简单,此处略过4.CSR描述文件
通过Keychain证书助理从证书颁发机构请求证书 Keychain将生成一个包含开发者身份信息的CSR(Certificate Signing Request)文件 Private Key始终保存在Mac OS的Keychain Access中,用于签名(CodeSign)对外发布的App Public Key一般随证书(随Provisioning Profile,随App)散布出去,对App签名进行校验认证。用户必须保护好本地Keychain中的private key,以防伪冒 Apple证书颁发机构WWDRCA(Apple Worldwide Developer Relations Certification Authority)将使用Private Key对CSR中的public key和一些身份信息进行加密签名生成数字证书(ios_development.cer)并记录在案(Apple Member Center) 从Apple Member Center网站下载证书到Mac上双击即可安装(当然也可在Xcode中添加开发账号自动同步证书和[生成]配置文件)。证书安装成功后,在KeychainAccess|登录|密钥 中展开创建CSR时生成的Key Pair中的私钥前面的箭头,可以查看到包含其对应公钥的证书(Your requested certificate will be the public half of the key pair.);在Keychain Access|登录|证书 中展开安装的证书(ios_development.cer)前面的箭头,可以看到其对应的私钥。苹果证书申请2023年
苹果证书申请2023年
4.配置文件Provisioning Profile
点击输入图片描述(最多30字)
Provisioning Profile文件包含了上述的所有内容: 证书、App ID和设备。 一个Provisioning Profile对应一个Explicit App ID或Wildcard App ID(一组相同Prefix/Seed的App IDs)。在网站上手动创建一个Provisioning Profile时,需要依次指定App ID(单选)、证书(Certificates,可多选)和设备(Devices,可多选)。用户可在网站上删除(Delete)已注册的Provisioning Profiles。 Provisioning Profile决定Xcode用哪个证书(公钥)/私钥组合(Key Pair/Signing Identity)来签署应用程序(Signing Product),将在应用程序打包时嵌入到.ipa包里。安装应用程序时,Provisioning Profile文件被拷贝到iOS设备中,运行该iOS App的设备也通过它来认证安装的程序。 如果要打包或者在真机上运行一个APP,一般要经历以下三步: 首先,需要指明它的App ID,并且验证Bundle ID是否与其一致; 其次,需要证书对应的私钥来进行签名,用于标识这个APP是合法、安全、完整的; 然后,如果是真机调试,需要确认这台设备是否授权运行该APP。5.团队配置文件Team Provisioning Profile
概念:每个Apple开发者账号都对应一个唯一的 Team ID,Xcode早期发布版本中加入了Team Provisioning Profile这项新功能。点击输入图片描述(最多30字)
点击输入图片描述(最多30字)
在Xcode中添加Apple Developer Account时,它将与Apple Member Center后台勾兑 自动生成iOS Team Provisioning Profile(Managed by Xcode)。
Team Provisioning Profile包含一个为Xcode iOS Wildcard App ID()生成的iOS Team Provisioning Profile:(匹配所有应用程序),账户里所有的Development Certificates和Devices都可以使用它在这个team注册的所有设备上调试所有的应用程序(不管bundle identifier是什么)。同时,它还会为开发者自己创建的Wildcard/Explicit App IDs创建对应的iOS Team Provisioning Profile。
Team Provisioning Profile生成/更新时机 Add an Apple ID account to Xcode Fix issue "No Provisioning Profiles with a valid signing identity" in Xcode Assign Your App to a Team in Xcode project settings of General|Identity Register new device on the apple development website or Xcode detected new device connected 利用Xcode生成和管理的iOS Team Provisioning Profile来进行开发非常方便,可以不需要上网站手动生成下载Provisioning Profile。 Team Provisioning Profile同Provisioning Profile,只不过是由Xcode自动生成的,也被配置到【XcodeTarget|Build Settings|Code Signing|Provisioning Profile】下。6.证书与签名
Code Signing Identity点击输入图片描述(最多30字)
Xcode中配置的Code Signing Identity(entitlements、certificate)必须与Provisioning Profile匹配,并且配置的Certificate必须在本机Keychain Access中存在对应Public/Private Key Pair,否则编译会报错。
Xcode所在的Mac设备(系统)使用CA证书(WWDRCA.cer)来判断Code Signing Identity中Certificate的合法性:
若用WWDRCA公钥能成功解密出证书并得到公钥(Public Key)和内容摘要(Signature),证明此证书确乃AppleWWDRCA发布,即证书来源可信; 再对证书本身使用哈希算法计算摘要,若与上一步得到的摘要一致,则证明此证书未被篡改过,即证书完整。 Code Signing 每个证书(其实是公钥)对应Key Pair中的私钥会被用来对内容进行数字签名(CodeSign)——使用哈希算法生成内容摘要(digest)。 Xcode使用指定证书配套的私钥进行签名时需要授权,选择【始终允许】后,以后使用该私钥进行签名便不会再弹出授权确认窗口。点击输入图片描述(最多30字)
Verify Code Signature with Certificate
上面已经提到,公钥被包含在数字证书里,数字证书又被包含在描述文件(Provisioning File)中,描述文件在应用被安装的时候会被拷贝到iOS设备中。
第一步,App在Mac/iOS真机上启动时,需要对配置的bundle ID、entitlements和certificate与Provisioning Profile进行匹配校验.
点击输入图片描述(最多30字)
第二步,iOS/Mac真机上的ios_development.cer被AppleWWDRCA.cer中的 public key解密校验合法后,获取每个开发证书中可信任的公钥对App的可靠性和完整性进行校验。
iOS/Mac设备(系统)使用App Provisioning Profile(Code Signing Identity)中的开发证书来判断App的合法性:
若用证书公钥能成功解密出App(executable code)的内容摘要(Signature),证明此App确乃认证开发者发布,即来源可信; 再对App(executable code)本身使用哈希算法计算摘要,若与上一步得到的摘要一致,则证明此App(executable code)未被篡改过,即内容完整。 小结: 基于Provisioning Profile校验了CodeSign的一致性; 基于Certificate校验App的可靠性和完整性; 启动时,真机的device ID(UUID)必须在Provisioning Profile的ProvisionedDevices授权之列。7.在多台机器上共享开发账户/证书
点击输入图片描述(最多30字)
1.Xcode导出开发者账号(*.developerprofile)和 PKCS12文件(*.p12)
进入Xcode Preferences|Accounts: 选中Apple IDs列表中对应Account的的Email,点击+-之后的☸|Export Apple ID And Code Signing Assets...,可导出包含account/code signing identity/provisioning profiles信息的*.developerprofile(Exporting a Developer Profile)文件供其他机器上的Xcode开发使用(Import该developerprofile)。 2.Keychain Access导出PKCS12文件(*.p12) 在Keychain Access|Certificates中选中欲导出的certificate或其下private key,右键Export或者通过菜单File|Export Items导出Certificates.p12——PKCS12 file holds the private key and certificate。 其他Mac机器上双击Certificates.p12(如有密码需输入密码)即可安装该共享证书。有了共享证书之后,在开发者网站上将欲调试的iOS设备注册到该开发者账号名下,并下载对应证书授权了iOS调试设备的Provisioning Profile文件,方可在iOS真机设备上开发调试。8.其他查看