首先,由于苹果的生产厂商生产的手机、电脑和他们的系统都是苹果公司出产的,所以每一款苹果手机的系统都是苹果公司给安装的。那么这个时候苹果就可以在系统里内置很多东西。iPhone手机上的公钥就是苹果安装系统的时候内置的。当我们点击 keychain 里的 “从证书颁发机构请求证书”,这里就本地生成了一对公私钥,保存的 CertificateSigningRequest 就是公钥,私钥保存在本地电脑里。那这对密钥是如何关联上的呢?是钥匙串访问帮我们关联上的。打开钥匙串访问,展开一个证书,会显示一个专用密钥。那个专用密钥就是私钥。除了Mac电脑上的这一对公钥、私钥,还有一对密钥。
也就是说,整个签名过程包含3个角色。运用的是 非对称加密算法RSA。
角色 密钥
Mac电脑 公钥M、私钥M
苹果服务器 私钥A
iPhone手机 公钥A
一、前期请求证书过程
我们在开发者网站中请求证书的时候,会将我们的公钥M(CSR)发送给苹果服务器。苹果服务器会用私钥A会对公钥M(CSR)进行一次SHA256加密。此时就会生成一个证书【包含公钥M及公钥M的HASH值】【这个加密过程即为签名】。这个证书苹果服务器会发送给你,从而存储在本地电脑。注:这个代码签名的信息,即为Mach-O文件里的Code Signature
二、App安装到iPhone手机过程
Xcode【Mac电脑上】在安装App到iPhone手机的时候,会用私钥M对App进行一次签名。
签名过程:首先对App进行一次SHA256加密运算,获得App的HASH值。然后通过私钥M对HASH值进行一次加密。就生成了一个App的签名。
一个完整的App想要安装到手机上面,必须具备以下几个东西:
App代码
App的签名
证书
三、iPhone手机验证过程
首先,iPhone手机会用公钥A将App里的证书进行解密,判断证书是否合法,得到公钥M及HASH值。然后再用公钥M对App的签名进行解密,判断App是否合法。
四、完善流程
上面的过程只是保证了,开发者的认证和程序的安全性。由于iOS的程序都是从AppStore下载的,如果只有上面的验证过程,那么你只要申请一个证书,就可以安装在所有的iPhone手机上面。所以苹果在上面的基础上加了两个限制:
1. 限制苹果后台注册过的设备(UDID)才可以安装。也就是说证书能安装的设备有限制
2. 签名只能针对某一个App(AppID)
因为除了设备ID、AppID还有Push推送等权限苹果都要控制,所以苹果统一把这些权限生成了一个文件,叫权限文件【Provision Profile】,用来描述App签名的权限。这个权限文件,是需要通过签名去授权的。这个描述文件是在苹果的开发者网站生成的。Xcode选择开发者信息后,会嵌入到Xcode里。
有了这个描述文件,开发者才可以真机调试。我们在开发的时候,会遇到这种情况,别的电脑【开发者】也想编译、安装这个App,这个时候就需要把私钥M导出成p12文件给别的开发者。因为只有你有了p12【私钥M】,你才能对App进行签名。
注:p12【私钥M】,即为钥匙串访问,展开一个证书,显示的专用密钥
