美文网首页iOSiOS开发技巧
iOS数字签名及ipa重签名

iOS数字签名及ipa重签名

作者: coder_zhengyi | 来源:发表于2017-12-21 00:40 被阅读608次

    ipa重签名是指对已经打包好的ipa,利用新的证书重新签名。

    ipa重签名作用:

    作用一
    有时候公司在进行软件开发的时候, 发布软件初期使用的是个人账号或者是公司账号,但是因为某种需要要使用企业账号进行分发这个应用,但是这时候可能出现一个问题就是不能再次使用原来的Bundle ID了,苹果规定Bundle ID必须是唯一的,更换Bundle ID就可以解决问题。但是新的问题就出现了,因为原先的微博、统计、以及推送的功能就失效了,这样又要重新配置新的BundleId,而且会对以前的版本造成影响。这时候就要使用到ipa重签解决问题了。

    作用二
    手机不想越狱,但是又想使用App Store上面的收费软件,我们如何解决呢?其实很多苹果助手就是用企业证书把App重签提供下载的。作为iOS开发者的我们,也可以使用自己的证书进行重签,以测试的身份使用App。

    重签名原理

    数字签名使用了非对称加密和摘要算法的结合。假设有一段原文本需要发布,为了防止中途文本类容被篡改,保证文本的完整性以及文本是由指定机构发的。首先,将原文本内容通过摘要算法,得到摘要,在用指定机构的私钥对摘要进行加密得到密文,加原文本、密文和私钥对应的公钥一并发布。当验证方拿到这些信息后,首先验证公钥是不是指定机构的,然后用公钥对密文进行解密得到摘要,将原文本内容用同样的摘要算法得到摘要,两个摘要进行对比,如果相等那么文本正常,否则文本无效。

    screenshot.png
    CertificateSigningRequest.certSigningRequest

    我们生成开发者证书的第一步是开发者在KeyChain中生成一个证书申请文件(CSR),该文件包含信息:

    • 申请者的信息,此信息使用申请者的私钥加密的
    • 申请者公钥,此信息是申请者使用的私钥对应的公钥
    • 摘要算法(SHA1)和公钥加密算法(RSA)
    开发者证书

    苹果去除CSR中的公钥,不管我的其他信息,将我MemberCenter(MC)中的账号信息和我提交的公钥封装在证书中,并进行数字签名(由苹果的认证部门 Apple Worldwide Developer Relations CA签名)。当我们下载证书并安装后,KeyChain会自动将这对密钥关联起来。

    screenshot.png
    配置文件

    配置文件包含信息:

    • App ID。
    • 使用了哪些证书。不同种类发布方式的证书和推送证书APN等。
    • 功能授权列表。
    • 可安装的设备列表。
    • 苹果的签名!

    其中苹果的签名是苹果签的,和我们的私钥没有关系。因此配置文件只能从MC获取,且获取后无法修改。苹果通过配置文件限制了前面四项内容,从而将控制权牢牢的抓在手中。

    ipa的组成

    ipa解压后,得到Payload目录,其中的内容如下:

    screenshot.png

    1.资源文件。例如图片、html等。
    2._CodeSignature/CodeResources。这是一个plist文件,可用文本查看,其中的内容就是是程序包中(不包括Frameworks)所有文件的签名。注意这里是所有文件。意味着你的程序一旦签名,就不能更改其中任何的东西,包括资源文件和可执行文件本身。iOS系统会检查这些签名。
    3.app。可执行文件。此文件跟资源文件一样需要签名。
    4.embedded mobileprovision。打包时候使用的,从MC上生成的。
    5.Frameworks。程序引用的非系统自带的Frameworks,每个Frameworks其实就是一个app,其中的结构应该和app差不多,也包含签名信息CodeResources文件。

    Xcode构建过程中,使用签名的重要过程就是通过codesign命令行工具对工程文件进行私钥加密。

    iOS设备如何验证app是否合法

    关键步骤:
    1.解压ipa。
    2.取出embedded mobileprovision,通过签名校验是否被篡改过。包括几个证书中的公钥、BundleID、App ID、功能列表、设备列表等等。
    3.校验所有文件的签名,包括Frameworks。
    4.比对Info.plist文件里面的BundleID是否符合embedded mobileprovision文件中的。

    ipa重签名的流程

    大致步骤:
    1.解压ipa。
    2.如果存在Frameworks子目录,则对.app文件夹下的所有Frameworks进行签名,在Frameworks文件夹下的.dylib或.framework。
    3.对xxx.app签名。
    4.重新打包。

    重签名具体步骤

    主要是替换ipa包里面的_CodeSignature和embedded.mobileprovision两个文件,以及entitlements.plist授权文件。

    1.解压ipa安装包

    cp olinone.ipa olinone.zip
    

    2、替换证书配置文件(文件名必须为embedded,不得自定义)

    cp embedded.mobileprovision Payload/olinone.app
    

    3、重签名(certifierName为重签名证书文件名,可以加证书ID后缀)

    certifierName="iPhone Distribution: olinone Information Technology Limited(6a5TVN58SY)"
    codesign -f -s $certifierName  --entitlements entitlements.plist Payload/olinone.app
    

    4、打包

    zip -r olinone.ipa Payload
    

    ipa表示是证书ID + BundleID,只有两者完全匹配,安装包才能覆盖安装,否则就会提示安装失败。解决办法就是卸载安装包,重新安装!

    还可以使用iReSign工具重签名(https://github.com/maciekish/iReSign)。

    1.代码签名探析
    2.漫谈iOS程序的证书和签名机制
    3.Inside Code Signing

    相关文章

      网友评论

        本文标题:iOS数字签名及ipa重签名

        本文链接:https://www.haomeiwen.com/subject/oocowxtx.html