iOS 签名机制

级别： ★★☆☆☆
标签：「iOS」「Apple」「签名机制」
做者： 忆思梦
审校： QiShare团队

---

前言补序：本文源于bang's blog的指导，QiShare整理了对iOS签名机制的知识。在此还要感谢bang神的原做。

由于苹果的安全策略，经过签名机制保证手机上的每一个App都是通过苹果认证的。 App的安装方式有四种：

1. 经过App Store安装。
2. 开发者能够经过Xcode安装。
3. Ad-Hoc 测试证书打包的App，数量限制100。
4. In-House 企业版证书打包App，信任企业证书后可使用。

1、 经过App Store安装

1. 由苹果生成一对公私钥，公钥内置与iOS设备中，私钥由苹果保管。
2. 开发者上传App给苹果审核后，苹果用私钥对App数据进行签名，发布至App Store。
3. iOS设备下载App后，用公钥进行验证，若正确，则证实App是由苹果认证过的。

2、经过Xcode安装（真机调试）

因为不须要提交苹果审核，因此苹果没办法对App进行签名，所以苹果采用了双重签名的机制。Mac电脑有一对公私钥，苹果仍是原来的一对公私钥。

（图文步骤不必定相同）

1. 开发时须要真机测试时，须要从钥匙串中的证书中心建立证书请求文件（CSR），并传至苹果服务器。
2. Apple使用私钥对 CSR 签名，生成一份包含Mac公钥信息及Apple对它的签名，被称为证书（CER：即开发证书，发布证书）。
3. 编译完一个App后，Mac电脑使用私钥对App进行签名。
4. 在安装App时，根据当前配置把CER证书一块儿打包进App。
5. iOS设备经过内置的Apple的公钥验证CER是否正确，证书验证确保Mac公钥时通过苹果认证的。
6. 再使用CER文件中Mac的公钥去验证App的签名是否正确，确保安装行为是通过苹果容许的。

苹果只是肯定这里的安装行为是否合法，不会验证App内容是否修改。

注： 证书请求文件（CertificateSigningRequest.certSigningRequest），用于绑定电脑，文件中应该有Mac电脑的公钥。

3、经过Ad-Hoc正式打包安装

Xcode打包App生成ipa文件，经过iTunes或者蒲公英等第三方发布平台，安装到手机上。流程步骤基本和真机调试相同，差异在于第4步：

1. 开发时须要打包测试或发布时，须要从钥匙串中的证书中心建立证书请求文件（CSR），并传至苹果服务器。
2. Apple使用私钥对 CSR 签名，生成一份包含Mac公钥信息及Apple对它的签名，被称为证书（CER：即开发证书，发布证书）。
3. 编译完一个App后，Mac电脑使用私钥对App进行签名。
4. 编译签名完以后，要导出ipa文件，导出时，须要选择一个保存的方法（App Store/Ad Hoc/Enterprise/Development），就是选择将上一步生成的CER一块儿打包进App。
5. iOS设备经过内置的Apple的公钥验证CER是否正确，证书验证确保Mac公钥是通过苹果认证的。
6. 再使用CER文件中Mac的公钥去验证App的签名是否正确，确保安装行为是通过苹果容许的。

4、In-House企业版证书打包

企业版证书签名验证流程和Ad-Hoc差很少。只是企业版不限制设备数，并且须要用户在iOS设备上手动点击信任证书。

附加一些东西

经过真机调试安装和证书打包安装，不加限制，可能会致使被滥用（不经过App Store，只经过第三方发布平台就能安装），所以苹果加了两个限制：在苹果注册过的设备才能够安装；签名只针对某一个App。

在上述第4步，打包证书进App中时，还须要加上容许安装的设备ID和App对应的APPID等数据（Profile文件）。

根据数字签名的原理，只要数字签名经过验证，第 5 步这里的设备 IDs / AppID / Mac公钥 就都是通过苹果认证的，没法被修改，苹果就能够限制可安装的设备和App，避免滥用。

苹果还要控制iCloud/push/后台运行等，这些都须要苹果受权签名，苹果把这些权限开关统称为：Entitlements，去让苹果受权。

所以证书中可能包含不少东西，不符合规定的格式规范，因此有了Provisioning Profile（描述文件），描述中包含了证书以及其余全部的信息及信息的签名。

四种签名方式的区别

签名方式	说明
App Store	用于发布到App Store。使用的是发布证书（Cer）。
Ad Hoc	安装到指定设备上，用于测试。使用的是发布证书（Cer）。
Enterprise	企业版证书签名。
Development	安装到指定设备，用于测试。使用的是开发证书（Cer）。

总结一下最终流程

1. Mac电脑和苹果分别有一套公私钥，苹果的私钥在后台，公钥存放在每一个iOS设备，Mac的私钥存放在电脑，公钥后面要发送给苹果服务器。
2. Mac从钥匙串生成CSR（就是或者包含公钥），上传至苹果服务器。
3. 苹果服务器使用私钥对CSR进行签名，获得包含Mac公钥以及其签名的数据，称为证书（Cer文件）。
4. 从苹果后台申请Appid，配置好设备ID列表及App的其余权限信息，使用苹果的私钥进行签名生成描述文件（Provisioning Profile），和第 3 步的证书Cer一并下载到Mac安装，钥匙串会自动将Cer与以前生成CSR文件的私钥关联（公私钥对应）。
5. 使用Mac编译App后，使用Mac私钥进行签名，并把 描述文件 打包进App，文件名为embedded.mobileprovision。
6. 安装App时，iOS设备取得证书，使用内置的Apple私钥去验证Cer及embedded.mobileprovision文件。
7. 保证Cer及embedded.mobileprovision是通过苹果认证以后，从Cer中取出Mac公钥，验证App签名，及设备id列表、权限开关是否对应。

1. 其余人想要编译签名App时应怎么作? 简单就是把私钥给他。私钥也是从 钥匙串 中导出，就是.p12文件，其余Mac导入私钥后就能够正常使用了。

2. 查看ipa包中注册的设备ID 解压.ipa文件，获得App数据包，显示包内容，找到embedded.mobileprovision文件所在目录，运行命令security cms -D -i embedded.mobileprovision

名词概念	说明
证书请求文件（CertificateSigningRequest.certSigningRequest）	本地公钥。
证书（Cer）	公钥及苹果签名后的信息。
Entitlements	包含了 App 权限开关列表。
p12	本地私钥，能够导入到其余电脑。
Provisioning Profile	包含了 证书 / Entitlements 等数据，并由苹果后台私钥签名的数据包。

参考文章：

1. iOS App 签名的原理
   
2. bang's blog

---

关注咱们的途径有：
QiShare(简书)
QiShare(掘金)
QiShare(知乎)
QiShare(GitHub)
QiShare(CocoaChina)
QiShare(StackOverflow)
QiShare(微信公众号)

推荐文章：
iOS 扫描二维码/条形码
iOS 了解Xcode Bitcode
iOS 重绘之drawRect
iOS 编写高质量Objective-C代码（八）
奇舞周刊