iOS的签名算法
-
非对称(公私钥)加密:加密密钥和解密密钥是不同的,而且是成对出现的。可解密(可逆)。RSA算法就是非对称加密算法。
-
摘要算法:是指,可以将任意长度的文本,通过一个算法,得到一个固定长度的文本。不可解密(不可逆)。比如大名鼎鼎的MD5和SHA。摘要算法主要用于比对信息源是否一致。
-
数字签名原理:
- 发布方(iOS Developer):源文本 + 密文(私钥对摘要算法加密的源文本二次加密)+ 私钥对应的公钥 + 摘要算法
- 接收方(iOS Device):公钥对密文进行解密得到摘要 === 摘要算法加密的源文本
-
数字证书:用数字签名实现的证书
- 英语6级证书的验证方一般是用人单位;
- web应用相关的SSL证书的验证方通常是浏览器;
- iOS各种证书的验证方是iOS设备。
-
我们获得的证书实际上是在告诉iOS设备:我们的证书是被苹果CA签过名的合法的证书。
iOS开发者资格申请
-
Apple Developer Program: 苹果开发者计划,针对个人以及公司,个人通过提交相关信息可以升级为公司账号。
- 针对个人/公司;
- 99$/y;
- Ad Hoc测试设备均为100台/y;
- 通过App Store发布应用;
- 个人以个人名义发布、出售App;
- 公司以公司实体名称发布、出售App;
- 个人账户可通过提交公司资质以及邓白氏码转换为公司账户;
- 公司账户支持开发团队成员设置。
-
Apple Developer Enterprise Program:苹果开发者企业计划,针对企业组织(不包括公司)
- 针对企业
- 299$/y
- Ad Hoc测试设备均为100台/y
- 不能在App Store发布应用,只能通过in-house企业内部分发;
- 申请需要提交公司资质以及邓白氏码;
- 支持团队成员设置,关于企业开发人员角色。
App开发证书
证书申请大致流程
- 用keyChain制作CertificateSigningRequest.certSigningRequest文件,强烈建议保留此文件,私钥可供多个证书公用
- 得到公私钥
- 私钥被保留在本机的keyChain中
- 在使用时,公私钥会自动匹配
- 进入证书管理中心,创建证书
- 选择证书类型
- 提交CSR文件,公钥被保存到Member Center中
- 生成的证书就包含了公钥和开发者信息
- 证书可以和私钥一同导出成.p12文件,用于Team中的开发者间共享
证书类型
-
Developer Certification(开发证书)
- 用于真机调试
-
Distribution Certification(发布证书)
- 用于app打包发布
- 开发者的资格不同(交钱多少),发布可选项也有不同
用下面命令,列出系统中可用于签名的有效证书:
/usr/bin/security find-identity -v -p codesigning
同一个Team的所有App可以共用一个发布或开发证书
证书内容
- User ID: who am i generate the certificate
- Common Name:证书名称
- Organization: Developer Team Name
- Public Key: 公钥
- 摘要算法等
证书可导出生成.P12文件(证书和私钥配对导出),从而在同一个Developer Team中共享证书和私钥。
App ID
- Name: App代号
- Prefix: Developer Team ID
- ID: Bundle Identifier
每个App有一个唯一的ID
Devices
- 可选项;一般为打包Ad-Hoc时才配置
Provisioning Profiles(mobileprovision文件)包含:
- AppId。每个app必须在MemberCenter中创建一个对应的AppId。
- 可使用通配符匹配该Team下所有的App;如TeamId.*
- 使用哪个证书(开发者证书)。
- 建议使用导出的共享证书(.p12)
- 功能授权列表。
- 可安装的设备列表。
- 苹果的签名!
描述文件将证书的公私钥、TeamId、AppId及注册设备等信息联系在一起,从而决定了可由哪个账号(Team ID),哪台电脑(Private Key),把哪个App(App ID),安装到哪台手机上面(Devices UDID)。
通过配置共享证书与通配符匹配AppID,则一个Team只需要一个发布证书与描述文件,来管理该Team下所有App的发布;开发证书与对应的描述文件也是同样道理。
App打包的主要内容
- app源代码
- Identity(Xcode中配置)
- Display Name: App安装显示的名字,如:微信
- Bundle Identifier: 必须与MemberCenter中注册的套装ID完全一致
- Version: 构建版本
- 其他源码
- Identity(Xcode中配置)
- .mobileprovision文件
- Certificate (证书)
- 公钥
- 摘要算法
- Team Name
- User ID
- Identifiers (App ID)
- Name: App代号,项目内部开发代号,一般为英文
- Prefix: Team ID
- ID(描述文件中可使用通配符): TeamID.com.host.
- Devices
- Certificate (证书)
- 密文
- 摘要算法对源代码加密形成摘要
- .mobileprovision包含的公钥对应的私钥对摘要加密形成密文
可解压.ipa文件,查看打包文件结构
Xcode8验证猜想
根据App打包的内容,Xcode8大致进行如下验证:
- 发布者打包时,验证Developer Role
- 根据证书提供的Team Name与发布者所在的Team ID比对,验证Team ID
- Xcode中的Bundle Identifier与Member Center中的套装ID比对,验证App ID
- 根据证书提供的公钥对密文进行解密,根据证书提供的摘要算法对源代码进行加密,两者比对从而验证私钥的合法性
Xcode8加入了Team ID验证,必须以证书提供的Team Name的名义进行发布
省钱秘籍之企业发布权利借用
- 借用.p12文件
- 借用.mobileprovision文件
- 借用Team member账号;或者混进该Team,成为一个Team member
iOS打包要点整理
- 确认自己在Team中的角色,只有Admin才有权进行AppStore发布
- 导入了发布证书
- 导入了.mobileprovision文件,且能够自动正确匹配Team与Signing Certificate
- Xcode中Bundle Identifier填写正确
网友评论