code signing,certificate和provisioning profiles

虽然从开始做iOS开发到现在,已经被苹果开发者的这些事折磨过无数次,但是我这个懒人每次都是通过瞎点“Fix issue”和“向老板求助”来解决问题的。然而最近经过了一些人事变动,外加秉承着三分钟热度的新年新气象,还是把这个大问题弄懂解决一下吧(╥﹏╥)

以下基本上摘取翻译自苹果官方文档。这些内容分散在好几个文档中,只是按照个人觉得易于理解的方式组织了一下。


为什么要做是代码签名(code signing)



数字签名(digital signature)使用了非对称加密的技术来确保数据是真实可靠的。加密者对一段数据做哈希后,使用自己的私钥对哈希值进行加密,这个加密后的哈希值就被称作“签名”。
为了检验这个签名,检验者首先计算出他得到的数据的哈希值,然后使用公钥对签名进行解密,这样就得到了加密者计算出的哈希值,如果两个哈希值一致,则说明这段数据自从签名后就没有被篡改过。

对app做代码签名可以让用户相信,这个app来源于苹果认证过的渠道,并且没有被第三方篡改。

被签名的app中包含了多个数字签名,对代码本身的签名会存在二进制文件自身中,对app中其他组成部分(比如Info.plist文件)的签名则存在_CodeSignature/CodeResources中。

app既可以被签名,也可以被抹去签名并且重新签名。比如说,开发者在上传至iTunes Connect之前对app做了签名,而苹果则在将app发布给顾客之前对它重新做了一次签名。


证书



Xcode用开发者的signing identity在构建的过程中对app做签名。这个signing identity包含了一对由苹果发行的公钥和私钥。私钥存在开发者的Mac的keychain中,而开发者帐号中的证书则存储了对应的公钥。
Xcode可以帮开发者生成signing identity,并且将其添加到开发者Mac的keychain中,同时对应的证书也被添加到开发者帐号的Member Center中。

code signing,certificate和provisioning profiles_第1张图片
证书中只包含公钥,并且被上传到了Member Center

私钥只保存在Mac本地,所以对开发者来说,保存这个私钥是很重要的。如果私钥丢失了,开发者就必须创建一个全新的signing identity。而更糟糕的是,如果有个人窃取了开发者的私钥,这个人就可以伪装成开发者。

code signing,certificate和provisioning profiles_第2张图片
keychain中的证书和私钥,[图片来源](https://www.objc.io/issues/17-security/inside-code-signing/)

另外,一个intermediate certificate也需要被放在keychain中,来保证开发者的证书是由certificate authority发行的。当开发者安装Xcode时,苹果的intermediate certificate就自动被添加到开发者的keychain中了。

不同的目的使用不同的证书。一个development certificate认证了团队中的一个成员,可以用来运行这个app。一个distribution certificate认证了一个团队,用来发布这个app。

任何一个团队成员都可以创建development certificate,但是只有agent或者admin可以创建distribution certificate。


Provisioning Profiles



通过检查一个provisioning profile的包含的信息,操作系统可以决定是否应该运行这个app。Xcode会将开发者选择的provisioning profile嵌入到app中去。

Development Provisioning Profiles



Team provisioning profile是一种典型的development provisioning profile。一个team provisioning profile文件允许这个团队开发的任意app,被任意一个团队成员签名,也可以在任意一个被团队注册的设备上运行。

Team provisioning profile是由Xcode来管理的。Xcode会在开发者第一次将一个Xcode工程指定一个team或者第一次为app添加capabilities的时候自动创建一个team provisioning profile。

一个team provisioning profile包含了一个App ID(可以是wildcard App ID,也可以是explicit App ID),所有和团队相关的设备,以及所有和团队相关的development certificate。

code signing,certificate和provisioning profiles_第3张图片

由于Xcode会自动创建和管理一个team provisioning profile,所以一般来说,只有当开发者想要限制只能有一部分团队成员才能开发某个app时,才会需要手动创建一个development provisioning profile。

Distribution Provisioning Profiles



一个ad hoc provisioning profile是一个distribution provisioning profile。它允许开发者的app被安装到指定的若干设备上,这个过程可以不经过Xcode。一个ad hoc provisioning profile可以防止app的测试版在开发者不知情的情况下被复制和发布。

当开发者准备好将app发布给测试时,他可以用一个App ID、一系列测试设备编号和一个发布证书来创建一个ad hoc provisioning profile。

在使用ad hoc provisioning profile时,这个iOS app是使用这个ad hoc provisioning profile中的发布证书来签名的。当开发者build或者archive这个app时,这个provisioning profile会被包含到app bundle中。如果这个app的bundle ID和App ID匹配、app的签名和发布证书匹配、当前的设备在这个provisioning profile的设备列表中,则这个app可以成功启动。

code signing,certificate和provisioning profiles_第4张图片
ad hoc provisioning profile的构成
code signing,certificate和provisioning profiles_第5张图片
只有当这些匹配时,app才能在设备上启动

当开发者输出一个app存档(app archive)并且选择ad hoc选项时,Xcode会创建一个ad hoc provisioning profile。

类似的,当开发者提交一个app到app store时,Xcode会创建一个store provisioning profile。

一个store provisioning profile包含了一个app ID和一个发布证书。当开发者将app上传到store的时候,Xcode会用store provisioning profile中的发布证书为app签名。

code signing,certificate和provisioning profiles_第6张图片
不知道为什么这里写的是Development Certificate,难道苹果写错了?

参考

Inside Code Signing
Code Signing Overview
About Signing Identities and Certificates
Your Signing Certificates in Depth
Team Provisioning Profiles in Depth
About Ad Hoc Provisioning Profiles
About Store Provisioning Profiles
Creating Provisioning Profiles Using Member Center

你可能感兴趣的:(code signing,certificate和provisioning profiles)