iOS APP 重签名

一、APP签名原理

1、为什么要签名

先来看看苹果的签名机制是为了做什么。在 iOS 出来之前，在主流操作系统(Mac/Windows/Linux)上开发和运行软件是不需要签名的，软件随便从哪里下载都能运行，导致平台对第三方软件难以控制，盗版流行。苹果希望解决这样的问题，在 iOS 平台对第三方 APP 有绝对的控制权，一定要保证每一个安装到 iOS 上的 APP 都是经过苹果官方允许的，怎样保证呢？就是通过签名机制。

2、关于数字签名

数字签名是一种对数字内容进行校验的方法。

数字签名的过程：

发送方：首先对原内容使用摘要算法（如MD5算法）生成一段固定长度的文本，可以理解为原内容的摘要，然后利用私钥加密摘要，这样就得到原内容的数字签名。

接收方：接收数据时同时收到原内容和数字签名。首先用相同摘要算法生成原内容的摘要（摘要1），同时用公钥解密接收到的数字签名得到摘要2，然后比对摘要1和摘要2，若相同，则证明原内容没被篡改过，内容可信。

3、数字签名机制怎么保证安装到iOS上的APP都是经过苹果认证允许的呢

概念

1. 证书：内容是公钥或私钥，由其他机构对其签名组成的数据包。
2. Entitlements：包含了iCloud / push / 后台运行等 App 权限开关列表。
3. CertificateSigningRequest：由keychain 里的 “从证书颁发机构请求证书”导出的一对公私钥，其中私钥保存在本地电脑里，而保存的CertificateSigningRequest就是公钥。
4. p12：本地私钥，可以导入到其他电脑。
5. Provisioning Profile：包含了 证书 / Entitlements 等数据，并由苹果后台私钥签名的数据包。

流程

签名过程.png

1. Mac上通过keychain里的 “从证书颁发机构请求证书”生成一对公私钥，这里称为公钥L，私钥L。L:Local
2. 苹果自己有固定的一对公私钥，私钥在苹果后台，公钥在每个 iOS 设备上（设备内置的）。这里称为公钥A，私钥A。A:Apple
3. 把公钥L传到苹果后台，用苹果后台里的私钥A去签名公钥 L。得到一份证书，该证书包含了公钥L以及其签名。
4. 在苹果后台申请AppID，配置好设备ID列表和APP可使用的权限，再加上第③步的证书，组成的数据用私钥 A 签名，把数据和签名一起组成一个Provisioning Profile配置文件，下载到本地Mac上。
5. 在开发时，编译完一个APP后，用本地的私钥L对这个APP进行签名，同时把第④步得到的 Provisioning Profile配置文件打包进APP里，文件名为 embedded.mobileprovision，把 APP 安装到手机上。
6. 在安装时，iOS系统取得证书，通过系统内置的公钥A，去验证embedded.mobileprovision的数字签名是否正确，里面的证书签名也会再验一遍。
7. 确保了embedded.mobileprovision里的数据都是苹果授权以后，就可以取出里面的数据，做各种验证，包括用公钥L验证APP签名，验证设备ID是否在ID列表上，AppID是否对应得上，权限开关是否跟 APP 里的Entitlements对应等。

综上：Xcode在打包生成ipa文件的过程中，利用本地（MAC上）的的私钥对这个APP（代码、资源文件）进行签名，并将其存放在ipa包内的_CodeSignature文件夹下。当APP要安装到iOS系统上时，系统通过描述文件找到数字证书，通过证书里的苹果数字签名，验证证书的有效性，如果证书有效，取出证书中的公钥L，解密APP的数字签名，然后比对两个摘要，如果摘要一致，则验证通过，APP可以成功安装到手机上。如果摘要不一致，则验证失败，APP安装失败。

二、ipa包重签名

1、重签名应用场景

1. 让客户打的开发包ipa安装在我们的测试机上；
2. 修复SDK bug后不需要客户重新嵌入打包，自己重签名替换；
3. 修改ipa内的info.plist文件

2、准备的东西

1、要重签名的ipa包

2、一份没有过期，且对应的证书有存在当前mac keychair的描述文件；

如：xxxresignDistribution.mobileprovision

该描述文件对应的证书：

证书.png

3、重签名过程

1、解压 ipa 安装包，会生成一个Payload文件；

终端：unzip appName.ipa

2、替换证书配置文件（文件名必须为embedded，不得自定义）

将xxxresignDistribution.mobileprovision名称改成embedded.mobileprovision；

embedded.png

拷贝上面生成的embedded.mobileprovision，进入上面解压后的Payload——>右击appName.app——>显示包内容，替换包内的embedded.mobileprovision；

替换mobileprovision.png
3、替换后，将Payload压缩生成一个Payload.zip，接着将Payload.zip后缀名改成.ipa，生成Payload.ipa；

4、打开苹果应用重签名工具；

应用重签名工具.png

5、配置重签名对应文件及证书；

配置重签名.png
安装包地址：导入第3步生成的Payload.ipa；

选择p12证书：xxxresignDistribution.mobileprovision对应的证书

选择配置文件：第1步对应的.mobileprovision文件

创建新的App ID：重签名包的bundle id

获取bundle id的方式：进入Payload——>右击appName.app——>显示包内容，找到Info.plist，在plist文件中找到Bundle identifier。如下：

plist.png
infoplist.png

6、点“开始”进行重签名，当完成时会生成一个重签名后的ipa包，至此重签名完成。

重签名后的IPA.png