转载于：
原文链接：Code Signing in Xcode 8
译文链接：Xcode 8 中的代码签名
译者： leoxu

代码签名和管理开发证书配置多年来一直是开发者挥之不去的烦恼。为此我进行了大量的写作和演讲来帮助人们理解代码签名和开发证书配置到底是什么，以及如何才能对其较好的管理。所以你就可以想象得到当Matthew Firlik在今年的WWDC大会上《联盟的平台现状》(53:30)上提到代码签名和开发证书配置时，我是有多么的惊讶和兴奋。另外据其透露大会的日程安排包含了一完整的会议，讨论 Xcode App 签名会有什么新的东西，而且有两个专注于于该话题的实际操作。那么，Xcode 8 是否能摆平过去我在代码签名和开发证书配置上所受到的委屈呢? 确实好多了。

在过去，代码签名被隐藏在Xcode的“构建设置（Build Settings）”Tab中。CODE_SIGN_IDENTITY 和 PROVISIONING_PROFILE 两个设置项很难对付而且它们相互之间没有直接的链接。开发者经常会碰到“没有找到匹配的开发正式配置（No Matching Provisioning Profiles Found）”错误，或者是一个“应用程序代码签名授权文件中指定的权限不能匹配开发证书配置中指定的权限（The entitlements specified in your application’s Code Signing Entitlements file do not match those specified in your provisioning profile）。”错误, 这还是在他们幸运的情况下。如果他们不够走运，构建倒是会成功，但构建出来的APP会在设备上运行失败，或者奔溃掉，就因为缺少了App组权限。Xcode 8 完全重构的开发证书系统，其所做出的变化会解决所有这些问题。

现在你在如何对你的APP进行代码签名和证书配置上有了选择权 。自动代码签名令许多人感到兴奋。自动代码签名使用了一个新的由Xcode管理的，独立于你已经创建的配置的专用配置。这确实是对令人感到可怕的“（解决问题）Fix Issue”按钮进行的一个扩展，但确实是隔离独立的，因此并不会影响到你现在已经管理的配置。自动代码签名看起来很棒，而且它很有可能将会被大量的开发者使用到，

不过，这并非 Xcode 8 代码签名的改进中最令我感到兴奋之处。在大型团队中工作的人们或者没有APP团队和开发者门户访问权限的开发者，需要对其APP中的代码签名进行更细粒度的控制。自定义的代码签名提供了那样的东西。自定义代码签名就是我们多年来如何对配置和APP进行管理的方式，它让我们能对APP如何进行代码签名拥有最大程度的控制。 Xcode 8 将自定义代码签名和开发证书配置的从暗箱操作带到了阳光下。没有被埋没在构建设置（Build Settings）, 代码签名现在被通用（General）Tab的前头和中心位置。当“自动管理签名（Automatically manage signing）”没有被选中的时候，我们可以特别地选择我们希望用于每个配置的开发证书配置。目前这个在其自身中没有新东西，我们总是能够在 构建设置（Build Settings）Tab中做这个事情。真正棒的地方是 Xcode 8在这里所展示出来的机智。配置的下拉列表可选项现在对合格配置和不合格配置进行了分组，前者在后者之上。这意味着完全或者通配符匹配捆绑标识符的配置将会显示在那些不匹配的配置之上。

不仅如此，如果你选择了一个不匹配捆绑标识符的配置，现在就回得到一个错误消息，告诉你具体出了什么问题。

这是同我们的过去相比的一个巨大改善。XCode不再为我们隐藏细节。我们也不再为了找到哪里可能出了问题而东想西想。 Xcode 8 就会告诉你到底哪里出了问题，不会张冠李戴，丢三落四。如果我们止步于此，我也会对代码签名的变化感到完全地满足。我知道我的描述听起来像是一档电视购物节目，但其实要更好!

Xcode 团队已经在报告导航（Report Navigator）中引入了一份新的报告，概述了Xcode为你所做的跟代码签名相关的事情。

这一报告完全揭掉了在Xcode用来同开发者门户打交道的“API”的面纱。老版本的Xcode会神不知鬼不觉的同Apple开发者门户通信。现在则是当Xcode 8代你处理代码签名的时候，你可以具体地看到执行了什么检查，还有Xcode8做了什么来修复它识别出来的问题。

还有一件令我感到惊喜的事情就是有了一个新的构建配置设置，PROVISIONING_PROFILE_SPECIFIER。过去你可能要根据名称指定 PROVISIONING_PROFILE，而Xcode转而会像后面这样引用项目中的配置的UUID: PROVISIONING_PROFILE = “9b7bca71-29ac-44de-a96d-131d06b46501”。如果带有特定的那个UUID的配置丢失了，Xcode没办法自己去摆平这个事情。你就不得不到构建设置 （Build Settings ）中你的列表里去找到配置名称，为了让Xcode获取到新的UUID。 PROVISIONING_PROFILE_SPECIFIER 让你可以指定开发证书配置名称，而现在Xcode8将会在你的项目文件中保存后面这样的东西: PROVISIONING_PROFILE_SPECIFIER = “9K9F9LCV74/KeyGrinder Dev”— 一个 Team ID 和配置名称的组合(由于它是在开发者门户中被命名的，并没有必要时一个实际的文件名称)。这样Xcode就总是会使用这个名称的最新的配置，而不管什么UUID了。在你做过更新之后，Xcode就不会再使用老的过时的配置。有了这个附加的功能，Apple为我们放开了自己的 set_project_profiles脚本。而没有什么会比这更让我们感到高兴了。

最后一件我要重点提一提的事情就是Apple在会议和实际操作中都提到过的一个最佳实践。应用程序发布是一个两步走的过程：编译然后进行代码签名。你的应用首先应该被编译成一个 XCArchive 然后被导出成一个用于发布的IPA。因此，你并不需要在你的发布配置中有确切的证书和配置设定。只要APP是使用正确的发布标识、优化等等进行的编译，它就可以用一个AdHoc或者甚至是一个开发配置来签名。你只需要在导出IPA或者提交到 App Store时使用正确的 App Store 或者 Enterprise 配置就行了。这可以帮助那些不必接触发布凭证和证书的开发者避免遇到那些他们拿着没有任何办法的错误。

Xcode 8 的发布让我感觉Apple已经在倾听并提供我们所诉求的东西了。