一、APP签名原理
1、为什么要签名
先来看看苹果的签名机制是为了做什么。在 iOS 出来之前,在主流操作系统(Mac/Windows/Linux)上开发和运行软件是不需要签名的,软件随便从哪里下载都能运行,导致平台对第三方软件难以控制,盗版流行。苹果希望解决这样的问题,在 iOS 平台对第三方 APP 有绝对的控制权,一定要保证每一个安装到 iOS 上的 APP 都是经过苹果官方允许的,怎样保证呢?就是通过签名机制。
2、关于数字签名
数字签名是一种对数字内容进行校验的方法。
数字签名的过程:
发送方:首先对原内容使用摘要算法(如MD5算法)生成一段固定长度的文本,可以理解为原内容的摘要,然后利用私钥加密摘要,这样就得到原内容的数字签名。
接收方:接收数据时同时收到原内容和数字签名。首先用相同摘要算法生成原内容的摘要(摘要1),同时用公钥解密接收到的数字签名得到摘要2,然后比对摘要1和摘要2,若相同,则证明原内容没被篡改过,内容可信。
3、数字签名机制怎么保证安装到iOS上的APP都是经过苹果认证允许的呢
概念
- 证书:内容是公钥或私钥,由其他机构对其签名组成的数据包。
- Entitlements:包含了iCloud / push / 后台运行等 App 权限开关列表。
- CertificateSigningRequest:由keychain 里的 “从证书颁发机构请求证书”导出的一对公私钥,其中私钥保存在本地电脑里,而保存的CertificateSigningRequest就是公钥。
- p12:本地私钥,可以导入到其他电脑。
- Provisioning Profile:包含了 证书 / Entitlements 等数据,并由苹果后台私钥签名的数据包。
流程
- Mac上通过keychain里的 “从证书颁发机构请求证书”生成一对公私钥,这里称为公钥L,私钥L。L:Local
- 苹果自己有固定的一对公私钥,私钥在苹果后台,公钥在每个 iOS 设备上(设备内置的)。这里称为公钥A,私钥A。A:Apple
- 把公钥L传到苹果后台,用苹果后台里的私钥A去签名公钥 L。得到一份证书,该证书包含了公钥L以及其签名。
- 在苹果后台申请AppID,配置好设备ID列表和APP可使用的权限,再加上第③步的证书,组成的数据用私钥 A 签名,把数据和签名一起组成一个Provisioning Profile配置文件,下载到本地Mac上。
- 在开发时,编译完一个APP后,用本地的私钥L对这个APP进行签名,同时把第④步得到的 Provisioning Profile配置文件打包进APP里,文件名为 embedded.mobileprovision,把 APP 安装到手机上。
- 在安装时,iOS系统取得证书,通过系统内置的公钥A,去验证embedded.mobileprovision的数字签名是否正确,里面的证书签名也会再验一遍。
- 确保了embedded.mobileprovision里的数据都是苹果授权以后,就可以取出里面的数据,做各种验证,包括用公钥L验证APP签名,验证设备ID是否在ID列表上,AppID是否对应得上,权限开关是否跟 APP 里的Entitlements对应等。
综上:Xcode在打包生成ipa文件的过程中,利用本地(MAC上)的的私钥对这个APP(代码、资源文件)进行签名,并将其存放在ipa包内的_CodeSignature文件夹下。当APP要安装到iOS系统上时,系统通过描述文件找到数字证书,通过证书里的苹果数字签名,验证证书的有效性,如果证书有效,取出证书中的公钥L,解密APP的数字签名,然后比对两个摘要,如果摘要一致,则验证通过,APP可以成功安装到手机上。如果摘要不一致,则验证失败,APP安装失败。
二、ipa包重签名
1、重签名应用场景
- 让客户打的开发包ipa安装在我们的测试机上;
- 修复SDK bug后不需要客户重新嵌入打包,自己重签名替换;
- 修改ipa内的info.plist文件
2、准备的东西
1、要重签名的ipa包
2、一份没有过期,且对应的证书有存在当前mac keychair的描述文件;
如:xxxresignDistribution.mobileprovision
该描述文件对应的证书:
3、重签名过程
1、解压 ipa 安装包,会生成一个Payload文件;
终端:unzip appName.ipa
2、替换证书配置文件(文件名必须为embedded,不得自定义)
将xxxresignDistribution.mobileprovision名称改成embedded.mobileprovision;
拷贝上面生成的embedded.mobileprovision,进入上面解压后的Payload——>右击appName.app——>显示包内容,替换包内的embedded.mobileprovision;
3、替换后,将Payload压缩生成一个Payload.zip,接着将Payload.zip后缀名改成.ipa,生成Payload.ipa;
4、打开苹果应用重签名工具;
5、配置重签名对应文件及证书;
安装包地址:导入第3步生成的Payload.ipa;
选择p12证书:xxxresignDistribution.mobileprovision对应的证书
选择配置文件:第1步对应的.mobileprovision文件
创建新的App ID:重签名包的bundle id
获取bundle id的方式:进入Payload——>右击appName.app——>显示包内容,找到Info.plist,在plist文件中找到Bundle identifier。如下:
6、点“开始”进行重签名,当完成时会生成一个重签名后的ipa包,至此重签名完成。