首先，由于苹果的生产厂商生产的手机、电脑和他们的系统都是苹果公司出产的，所以每一款苹果手机的系统都是苹果公司给安装的。那么这个时候苹果就可以在系统里内置很多东西。iPhone手机上的公钥就是苹果安装系统的时候内置的。当我们点击 keychain 里的 “从证书颁发机构请求证书”，这里就本地生成了一对公私钥，保存的 CertificateSigningRequest 就是公钥，私钥保存在本地电脑里。那这对密钥是如何关联上的呢？是钥匙串访问帮我们关联上的。打开钥匙串访问，展开一个证书，会显示一个专用密钥。那个专用密钥就是私钥。除了Mac电脑上的这一对公钥、私钥，还有一对密钥。

 也就是说，整个签名过程包含3个角色。运用的是 非对称加密算法RSA。

角色 密钥

Mac电脑 公钥M、私钥M

苹果服务器 私钥A

iPhone手机 公钥A

一、前期请求证书过程

我们在开发者网站中请求证书的时候，会将我们的公钥M（CSR）发送给苹果服务器。苹果服务器会用私钥A会对公钥M（CSR）进行一次SHA256加密。此时就会生成一个证书【包含公钥M及公钥M的HASH值】【这个加密过程即为签名】。这个证书苹果服务器会发送给你，从而存储在本地电脑。注：这个代码签名的信息，即为Mach-O文件里的Code Signature

二、App安装到iPhone手机过程

Xcode【Mac电脑上】在安装App到iPhone手机的时候，会用私钥M对App进行一次签名。

签名过程：首先对App进行一次SHA256加密运算，获得App的HASH值。然后通过私钥M对HASH值进行一次加密。就生成了一个App的签名。

一个完整的App想要安装到手机上面，必须具备以下几个东西：

App代码

App的签名

证书

三、iPhone手机验证过程

首先，iPhone手机会用公钥A将App里的证书进行解密，判断证书是否合法，得到公钥M及HASH值。然后再用公钥M对App的签名进行解密，判断App是否合法。

四、完善流程

上面的过程只是保证了，开发者的认证和程序的安全性。由于iOS的程序都是从AppStore下载的，如果只有上面的验证过程，那么你只要申请一个证书，就可以安装在所有的iPhone手机上面。所以苹果在上面的基础上加了两个限制:

1. 限制苹果后台注册过的设备（UDID）才可以安装。也就是说证书能安装的设备有限制

2. 签名只能针对某一个App（AppID）

因为除了设备ID、AppID还有Push推送等权限苹果都要控制，所以苹果统一把这些权限生成了一个文件，叫权限文件【Provision Profile】，用来描述App签名的权限。这个权限文件，是需要通过签名去授权的。这个描述文件是在苹果的开发者网站生成的。Xcode选择开发者信息后，会嵌入到Xcode里。

有了这个描述文件，开发者才可以真机调试。我们在开发的时候，会遇到这种情况，别的电脑【开发者】也想编译、安装这个App，这个时候就需要把私钥M导出成p12文件给别的开发者。因为只有你有了p12【私钥M】，你才能对App进行签名。

注：p12【私钥M】，即为钥匙串访问，展开一个证书，显示的专用密钥