• 安裝包不需要上傳AppStore，可以直接安裝到手機

• 蘋果為了保證系統(tǒng)的安全性，又必須對安裝的App有絕對的控制權(quán)

  • 經(jīng)過蘋果允許才可以安裝
  • 不能被濫用導致非開發(fā)App也能被安裝

為了實現(xiàn)這些需求，iOS簽名的復雜度也就開始增加了，蘋果這里給出的方案是 雙層簽名

雙層代碼簽名

為了實現(xiàn)蘋果驗證應(yīng)用的一些需求,iOS簽名的復雜度也就開始增加了,蘋果給出的方案是雙層簽名.

• iOS的雙層代碼簽名流程這里簡單梳理一下,這也不是最終的iOS簽名原理.iOS的最終簽名在這個基礎(chǔ)上還要稍微加點東西.

• 首先這里有兩個角色.一個是iOS系統(tǒng) 還有一個就是我們的Mac系統(tǒng).因為iOS的APP開發(fā)環(huán)境在Mac系統(tǒng)下.所以這個依賴關(guān)系成為了蘋果雙層簽名的基礎(chǔ).

• 1、在Mac系統(tǒng)中生成非對稱加密算法的一對公鑰\私鑰(你的Xcode幫你代辦了).這里稱為公鑰M 私鑰M (注：M = Mac）

• 2、蘋果自己有固定的一對公私鑰,跟之前App Store原理一樣,私鑰在蘋果后臺,公鑰在每個iOS系統(tǒng)中.這里稱為公鑰A , 私鑰A. A=Apple

• 3、把公鑰M 以及一些你開發(fā)者的信息,傳到蘋果后臺(這個就是CSR文件)，用蘋果后臺里的私鑰 A 去簽名公鑰M。得到一份數(shù)據(jù)包含了公鑰M 以及其簽名，把這份數(shù)據(jù)稱為證書。

蘋果雙向簽名驗證步驟

下面簡述蘋果雙向簽名的步驟

• 1、前提：

  • xcode會在keychain生成一對公鑰M、私鑰M，保存在mac電腦中
  • 還有一對公鑰A（iPhone）、私鑰A（蘋果服務(wù)端）

• 2、通過mac中的公鑰M（核心）+證書頒發(fā)機構(gòu)信息，生成一個CSR文件，傳遞給蘋果服務(wù)器

• 3、蘋果服務(wù)器通過私鑰A加密公鑰M，生成一個證書，其中包含公鑰M+Hash值，并對公鑰M的Hash值作數(shù)字簽名

  • 私鑰A 加密 公鑰M

  • 蘋果服務(wù)器就相當于CA機構(gòu)

  • 證書就是 CRT文件

問題：編譯App需要安裝到手機，iPhone如何驗證呢？

• 4、通過mac中的私鑰M，對App中的Mach-O進行簽名，生成一個App的簽名，同時將證書打包進去，形成一個ipa包

  • 1）通過mac中的私鑰M，對App中的Mach-O進行簽名

  • 2）生成一個App的簽名

  • 3）將Mach-O文件、App簽名、證書等信息一起打包，形成一個ipa包

  • 證書 可以由 iPhone中的公鑰A解密

  • 私鑰M 就是 p12證書，證書回來后，就會與私鑰M進行綁定

雙重驗證

• 5、通過iPhone的公鑰A 解密 證書，證書解密后得到公鑰M，公鑰M 可以驗證 App的簽名，驗證通過，說明安裝行為是被允許的，合法的

  以下是Mach-O的簽名信息

注：上述這個過程是有問題的：因為只要申請證書，任何設(shè)備都可以安裝

描述文件

所以蘋果為了解決應(yīng)用濫用的問題,所以蘋果又加了兩個限制.

• 第一限制在蘋果后臺注冊過的設(shè)備才可以安裝.

• 第二限制簽名只能針對某一個具體的APP.

并且蘋果還想控制App里面的iCloud/PUSH/后臺運行/調(diào)試器附加這些權(quán)限,所以蘋果把這些權(quán)限開關(guān)統(tǒng)一稱為Entitlements(授權(quán)文件).并將這個文件放在了一個叫做Provisioning Profile(描述文件)文件中.

• 描述文件是在AppleDevelop網(wǎng)站創(chuàng)建的(在Xcode中填上AppleID它會代辦創(chuàng)建),Xcode運行時會打包進入APP內(nèi).所以我們使用CSR申請證書時,我們還要申請一個東西!! 就是描述文件!

• 在開發(fā)時,編譯完一個 APP 后,用本地的私鑰M對這個APP進行簽名,同時把從蘋果服務(wù)器得到的 Provisioning Profile 文件打包進APP里,文件名為embedded.mobileprovision,把 APP 安裝到手機上.最后系統(tǒng)進行驗證。

• 6、為了限制，蘋果提供了一個權(quán)限文件，即profile - 描述文件，所以3中的證書是包含在描述文件中的。除此之外還包含 設(shè)備id、AppID、權(quán)限文件等信息，其目的有兩個：1）限制免費證書安裝設(shè)備；2）限制免費證書安裝期限，以下是加上描述文件后的雙重驗證過程

  • 1）蘋果服務(wù)器提供了一個描述文件，其中包含CRT證書。

  • 2）然后通過mac的私鑰M對Mach-O文件進行簽名，生成App簽名。

  • 3）將Mach-O文件、App簽名、描述文件一起打包生成ipa包

  • 4）將App安裝到iOS設(shè)備中

  • 5）通過iPhone手機的私鑰A解密描述文件中的CRT證書，解密后得到公鑰M

  • 6）然后通過公鑰M驗證App的簽名。因為App簽名是通過私鑰M進行簽名的，如果驗證通過，則說明安裝是合法的

下面老看下描述文件，以下是描述文件的期限

且在編譯好的App包中，同樣可以看到描述文件

終端命令查看：通過命令查看描述文件(.app包的目錄下)：security cms -D -i embedded.mobileprovision

雙重驗證總結(jié)

所以，綜上所述，蘋果的雙重驗證主要是指以下兩次簽名驗證：

• 1、iOS系統(tǒng)中通過內(nèi)置的公鑰A驗證CRT證書

• 2、通過1中證書取出的公鑰M驗證App的簽名

總結(jié)

• 證書：公鑰M/私鑰M發(fā)出去，由官方的機構(gòu)對其進行簽名后組成的數(shù)據(jù)包

• p12 就是本地私鑰M

• 描述文件：包含證書、權(quán)限文件（Entitlements - 權(quán)限開關(guān)）、UUID等信息+權(quán)限。不能修改

• 證書生成流程：

  • 1、通過本地的公鑰M/私鑰M，申請證書 -- CSR文件

  • 2、服務(wù)器將公鑰M進行一次RSA加密，得到CRT證書，

  • 3、將CRT證書下載到本地，與私鑰M（p12）進行綁定

• 蘋果雙向簽名驗證流程如下圖所示

*   1、在Mac中通過`公鑰M+證書頒發(fā)機構(gòu)信息`生成`CSR文件`

*   2、將`CSR文件`傳遞到蘋果服務(wù)器，申請`CRT證書`

*   3、蘋果服務(wù)器通過`私鑰A加密公鑰M`，生成`CRT證書`，并對公鑰M的hash值進行數(shù)字簽名（即通過RSA加密）。同時蘋果還提供了`描述文件`

*   4、通過`私鑰M`對`Mach-O進行簽名`，生成一個`App的簽名`，同時將描述文件、CRT證書等打包，形成一個`ipa`包

*   5、App安裝到iOS設(shè)備

*   6、從iPhone手機中獲取`公鑰A`，通過公鑰A`解密CRT證書`，得到`公鑰M`

*   7、通過6中得到`公鑰M驗證App的簽名`

• 蘋果的雙重驗證主要是指以下兩次簽名驗證：

  • 1、iOS系統(tǒng)中通過內(nèi)置的公鑰A驗證CRT證書

  • 2、通過1中證書取出的公鑰M驗證App的簽名

參考鏈接

• 雙向簽名簽名原理&重簽名相關(guān)
• iOS數(shù)字簽名、代碼簽名、雙重簽名詳解