码迷,mamicode.com
首页 > 移动开发 > 详细

iOS证书相关概念详解

时间:2015-01-13 23:20:08      阅读:651      评论:0      收藏:0      [点我收藏+]

标签:certificate   app_id   provisioning_profile   app_group   codesigning   

        关于开发证书配置(Certificates&Identifiers&Provisioning Profiles),相信做iOS开发的同学没少被折腾,本文将对相关概念做个系统的梳理。

        在进行iOS证书申请之前,假设你使用过Apple设备且注册过Apple ID。首先,必须加入苹果开发者计划(Enrollin iOS Developer Program to become a member),分为Individual和Company/Organization两种类型。

        下文主要基于个人开发者账号(Individual):$99/Year。

.证书(Certificates)

顾名思义,证书是用来证明内容(App的CodeSign)的合法性和完整性的。对于发布到AppStore/安装到真机的应用程序(App),只有经过签名验证(CodeSign)才能确保来源可信,并且保证代码是完整、未经篡改的。

证书分为两类:DevelopmentProduction(Distribution)

  • Development证书用来开发和调试应用程序;
  • Production主要用来分发应用程序(根据证书种类有不同作用)。

下文主要针对开发调试阶段的Development证书。

.App ID(bundle identifier)

App ID用于标识一个或者一组App,AppID应该是和Xcode中的Bundle Identifier是一致的或者匹配的。

App ID字符串通常是反域名(reverse-domain-name)格式的CompanyIdentifier(Company ID)作为前缀(Prefix/Seed)。

App ID分为两类:

  • Explicit App ID:唯一的App ID,这种App ID用于唯一标识一个应用程序。例如“com.apple.garageband”这个App ID,用于标识Bundle Identifier为“com.apple.garageband”的程序。
  • Wildcard App ID:通配符App ID,用于标识一组应用程序。例如“*”表示所有应用程序;而“com.apple.*”可以表示以“com.apple.”开头的所有应用程序。

.设备(Device)

Device就是运行iOS系统用于开发调试iOS App的设备,每台设备使用UDID来唯一标识。iOS设备连接Mac后,可通过iTunes->Summary或者Xcode->Window->Devices获取iPhone的UDID(identifier)。

Devices中包含了该账户中所有可用于开发和测试的设备,普通个人开发账号每年最多只能注册100个设备。

  • Apps signed by you or your team run only on designated development devices.
  • Apps run only on the test devices you specify.

.供应配置文件(Provisioning Profiles

Provisioning Profile文件包含了上述的所有内容:证书、App ID、设备。它决定Xcode用哪个证书(公钥)/私钥组合(KeyPair)来签署应用程序(Signing Product),将在应用程序打包时嵌入到.ipa包里。安装应用程序时,Provisioning Profile文件被拷贝到iOS设备中,运行该iOS App的设备也通过它来认证安装的程序。

如果要打包或者在真机上运行一个APP,一般要经历以下三步:

  • 首先需要证书来进行签名,用于标识这个APP是合法、安全、完整的;
  • 其次,需要指明它的App ID,并且验证Bundle ID是否与其一致;
  • 然后,如果是真机调试,需要确认这台设备是否授权运行该APP。

Provisioning Profile把这些信息全部打包在一起,方便我们在调试和发布程序打包时使用。这样,只要在不同的情况下选择不同的ProvisioningProfile文件就可以了。

Provisioning Profile也分为Development和Distribution两类,有效期同Certificate一样。

.开发组供应配置文件(Team Provisioning Profiles

Xcode3.2.3预发布版本中加入了Team ProvisioningProfile这项新功能。

在Xcode中添加Apple Developer Account时,它将与Apple Dev Center后台勾兑自动生成iOSTeamProvisioning Profile(Managed by Xcode)。

Team Provisioning Profile包含一个为Xcode iOS Wildcard App ID(*)生成的iOS Team Provisioning Profile:*(匹配所有应用程序),账户里所有的Development Certificates和Devices都可以使用它在这个eam注册的所有设备上调试所有的应用程序(不管bundleidentifier是什么)。同时,它还会为开发者自己创建的Wildcard/Explicit App IDs创建对应的iOSTeam Provisioning Profile。

Team Provisioning Profile生成/更新时机:

  • (1).Add an Apple ID account to Xcode
  • (2).Fix issue "No Provisioning Profiles with a valid signingidentity" in Xcode
  • (3).Assign Your App to a Team in Xcode project settings ofGeneral|Identity
  • (4).Register new device on the apple development website or Xcodedetected new device connected

利用Xcode生成和管理的iOS Team Provisioning Profile来进行开发非常方便,可以不需要上网站手动生成下载Provisioning Profile。

.App Group

WWDC14除了发布了OS X v10.10和switf外,iOS 8.0也开始变得更加开放了。说到开放,当然要数应用扩展(AppExtension)了。顾名思义,应用扩展允许开发者扩展应用的自定义功能和内容,能够让用户在使用其他应用程序时使用该项功能,从而实现各个应用程序间的功能和资源共享。可以将扩展理解为一个轻量级(nimbleand lightweight)的分身。

扩展和其Containing App各自拥有自己的沙盒,虽然扩展以插件形式内嵌在ContainingApp中,但是它们是独立的二进制包,不可以互访彼此的沙盒。为了实现Containing App与扩展的数据共享,苹果在iOS 8中引入了一个新的概念——App Group,它主要用于同一Group下的APP实现数据共享,具体来说是通过以App Group ID标识的共享资源区——App Group Container。

置于同一App Group下的一组AppIDs必须是唯一的(Explicit),并且ContainingApp与Extension的App ID命名必须符合规范。一般Extension的App ID以Containing App为Seed,假如Garageband这个App(App ID=“com.apple.garageband”),则支持从语音备忘录导入到Garageband应用的插件的AppID可能形如“com.apple.garageband.extImportRecording

.证书与签名(Certificate& Signature)

通过Keychain证书助理手动申请开发证书时(也可通过Xcode自动请求生成),keychain将生成一个包含开发者身份信息的CSR(Certificate Signing Request)文件,Keychain Access|Keys中将新增一对Public/Private Key Pair

在Apple开发网站上传该CSR文件,Apple证书颁发机构WWDRCA(Apple Worldwide Developer Relations Certification Authority)将使用WWDR private key对CSR中的publick key进行加密签名生成数字证书(ios_development.cer)。

下载证书到Mac上双击安装后,在KeychainAccess|Keys中展开CSR生成Key Pair中的私钥前面的箭头,可以查看到包含其对应公钥的证书(Your requested certificate will bethe public half of the key pair.);在KeychainAccess|Certificates中展开安装的证书(ios_development.cer)前面的箭头,可以看到其对应的私钥。

每个证书(其实是公钥)对应的私钥会被用来对内容(executable code,resources such as images and nib files aren’t signed)进行数字签名(CodeSign)——使用哈希算法生成内容摘要(digest)。上面已经提到,公钥被包含在数字证书里,数字证书又被包含在描述文件(ProvisioningFile)中,描述文件在应用被安装的时候会被拷贝到iOS设备中。

另一方面,iOS系统以及MacOS X系统(在安装Xcode时)将自动安装AppleWWDRCA.cer这个Intermediate Certificates。如果Mac Keychain Access证书助理在申请证书时尚未安装过该证书,请先下载安装。iOS/Mac机上的ios_development.cer可以被AppleWWDRCA.cer中的 public key解密,从而获取每个开发证书中可信任的公钥

iOS/Mac设备(系统)使用AppProvisioning Profile证书中的公钥来判断App代码签名的合法性:

  • (1)若用公钥能成功解密得到内容摘要,证明此内容确乃认证开发者发布,即来源可信;
  • (2)再对内容本身使用哈希算法计算摘要,若与上一步得到的摘要一致,则证明内容未被篡改过,即内容可信。

.在多台机器上实现开发账户/证书共享

若在Xcode Preferences添加了该Accounts,选中Team条目|ViewDetails:可以查看Signing Identities和ProvisioningProfiles。

  • 选中欲导出的Account,点击+-之后的?|ExportAccounts,可导出包含account/code signingidentity/provisioning profiles信息的*.developerprofile(Exporting a Developer Profile)文件供其他机器上的Xcode开发使用(Import该Account)。
  • 选中欲导出的Signing Identity条目,点击栏底+之后的?|Export,必须输入密码,并需授权exportkey "privateKey" from keychain,将导出Certificates.p12或在Keychain Access|Certificates中选中欲导出的certificate或其下private key,右键Export或者通过菜单File|Export Items导出Certificates.p12

其他Mac机器上双击Certificates.p12(如有密码需输入密码)即可安装该共享证书,在开发者网站上将欲调试的iOS设备注册到该开发者账号名下,并下载对应证书授权了iOS调试设备的Provisioning Profile文件即可在iOS真机设备上开发调试。


参考:

iPhone真机调试应用程序》《iOS Developer:真机测试

关于Certificate、Provisioning Profile、App ID的介绍及其关系

iOS Development--Certificates, Provisioning Profiles


数字签名和数字证书苹果开发者账号那些事儿

代码签名探析/Inside Code Signing》《iOS Code Signing 学习笔记


iOS证书相关概念详解

标签:certificate   app_id   provisioning_profile   app_group   codesigning   

原文地址:http://blog.csdn.net/phunxm/article/details/42685597

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!