iOS重签名了解一下

什么是代码签名

  • 签名: 确保被签名文件的有效性
  • 代码签名:iOS里的代码签名,简单概括就是用Mac上的私钥,对app进行一次签名,确保app的完整,防止别人篡改

回顾一下打包app的过程,要做哪些操作
Certificates:需要从证书颁发机构CA那里创建一个.certSigningRequest文件,这是使用非对称加密创建的一对密钥,私钥存在Mac里,公钥就是.certSigningRequest要上传到apple的开发者后台。apple用自己的私钥对.certSigningRequest文件进行签名生成.cer证书,把这个.cer下载下来安装到Mac上,当导出P12格式的证书时会把Mac的私钥一起导出生成P12证书。
Identifiers:创建app的Bundle ID,在创建appid的时候会勾选app用到的哪些权限,比如
Game Center、In-App Purchase、Sign In with Apple等。
Devices:需要调试设备的UDID
Profiles:根据Certificates、Identifiers、Devices生成的描述文件*.mobileprovision
展开mobileprovision可以看到描述文件里包含了Certificates证书、app ID和包含的Entitlements权限、Devices设备的UDID


在打包app的时候Xcode用证书和描述文件对app进行了一次签名。

为什么要重签名

有时候在处理app的时候,需要对app里面的资源进行增删改查的操作,例如更换启动图,修改bundle,修改动态库等,这会破坏原来打包app时候的签名,导致app安装失败,就是安装的时候iOS的系统校验签名失败,需要重新签名才可以安装。

从上面可以知道描述文件里包含了CertificatesIdentifiersDevices等信息,签名的时候需要描述文件里包含的Certificates证书跟所签名的P12证书信息一致才会签名成功,但神奇的是并不需要描述文件里包含的app ID和工程里的app ID(info.plist里的Bundle ID)一致就可以签名成功,所以这也衍生出了超级签企业签等应用场景,只要我有包含私钥的P12证书和包含这个证书的描述文件,就可以给任意的app签名。

如何进行重签名

对app进行重签名,首先得有个app吧,使用Xcode打包出来的是ipa包,ipa包解压出来的结构是Payload/*.app


有app包之后,重签名需要用到包含Mac私钥的P12证书,包含证书、app ID、device ID的描述文件.mobileprovision

把P12证书安装到Mac上后,要获取到这个证书的ID,以下命令可以查看电脑上所安装的所有证书,找到对应的证书ID,使用证书ID或者证书名字都可以

$ security find-identity -v -p codesigning

    1) C6C00376F3FAB3BFB33ECCE44D4698B1D5A4E293 "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)"

把描述文件adhoc.mobileprovision拷贝到app的根路径里,名字改为embedded.mobileprovision,名字是固定写法

$ cp adhoc.mobileprovision Payload/dis.app/embedded.mobileprovision

把描述文件adhoc.mobileprovision转成.plist文件格式输出,方便后续获取其中的权限列表

$ security cms -D -i adhoc.mobileprovision > entitlements_full.plist

截取描述文件中的权限文件,用于app的签名

$ /usr/libexec/PlistBuddy -x -c 'Print:Entitlements' entitlements_full.plist > entitlements.plist

用前面获取到的证书ID或者证书名字、描述文件里获取到的权限列表对app进行签名
如果app内包含了动态库,需要先对动态库进行签名,再对app签名,区别是动态库的签名不需要附加权限列表,动态库的路径是Payload/*.app/Frameworks/*.framework,以下是对动态库进行签名,如果app中没有动态库,可以跳过

$ /usr/bin/codesign --continue -f -s "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)" Payload/*.app/Frameworks/*.framework

接着对app进行签名,以下命令

$ /usr/bin/codesign --continue -f -s "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)" --entitlements "entitlements.plist" Payload/*.app

签名完成后,可以校验一波签名是否有效,如果没有任何输出,这说明签名有效,Unix的设计就是这样,没有输出就是最好的输出

$ codesign -v Payload/*.app

最后把Payload文件压缩一波,改成ipa格式就可以使用了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • iOS App 签名原理
    笔者接触打包已经一段时间了,但一直对签名都是似懂非懂,最近从加密数论知识起回看这部分知识,感觉还是有很多不懂的地方...
    luonaerduo阅读 5,014评论 0 3
  • 深入了解iOS签名原理
    一、加密解密 1. 密码相关 1.1 简介 根据对加密和解密使用的密钥方法,可以将密码分为2种: 对称密码:加密用...
    CoderJRHuo阅读 4,042评论 0 0
  • iOS-Provisioning Profile(Certificate)与Code Sign...
    引言 关于开发证书配置(Certificates & Identifiers & Provisioning Pro...
    奋斗的蜗牛阅读 12,268评论 2 20
  • 送你一个晚安故事
    我是黑夜里大雨纷飞的人啊 1 “又到一年六月,有人笑有人哭,有人欢乐有人忧愁,有人惊喜有人失落,有的觉得收获满满有...
    陌忘宇阅读 12,765评论 28 53
  • 人工智能是什么?
    人工智能是什么?什么是人工智能?人工智能是未来发展的必然趋势吗?以后人工智能技术真的能达到电影里机器人的智能水平吗...
    ZLLZ阅读 9,434评论 0 5

友情链接更多精彩内容