iOS 認證詳解

標籤：overflow   而在   方便   eve   member   shu   系統   backup   auth   

引言

關於開發認證配置（Certificates & Identifiers &

Provisioning

Profiles），相信做iOS開發的同學沒少被折騰。對於一個iOS開發小白、半吊子（比如像我自己）抑或老兵，或多或少會有或曾有過以下不詳、疑問、疑惑甚至困惑：

什麼是App ID？Explicit/Wildcard App ID有何區別？什麼是App Group ID？

什麼是認證（Certificate）？如何申請？有啥用？

什麼是Key Pair（公開金鑰/私密金鑰）？有啥用？與認證有何關聯？

什麼是簽名（Signature）？如何簽名（CodeSign）？怎樣校正（Verify）？

什麼是（Team）Provisioning Profiles？有啥用？

Xcode如何配置才能使用iOS真機進行開發調試？

多台機器如何共用開發人員帳號或認證？

遇到認證配置問題怎麼辦？

本文將圍繞相關概念做個系統的梳理串燒。

寫在前面

1.假設你使用過Apple裝置（iMac/iPad/iPhone）且註冊過Apple ID（Apple Account）。

2.假設你或你所在的開發組已加入蘋果開發人員計劃（Enroll in iOS Developer Program to become amember），即已註冊開發人員帳號（Apple Developer Account）。

只有擁有開發人員帳號，才可以申請開發/發布認證及相關配置授權檔案，進而在iOS真機上開發調試Apps或發布到App Store。

開發人員帳號分為Individual和Company/Organization兩種類型。如無特別交代，下文基於$99/Year的普通個人開發人員（Individual）帳號展開。

3.若要真機調試實踐，你必須至少擁有一台裝有Mac OS X/Xcode的Mac開發機（iMac or MacBook），其上內建原生的Keychain Access。

一.App ID（bundle identifier）

App ID即Product ID，用於標識一個或者一組App。

App ID應該和Xcode中的Bundle Identifier是一致（Explicit）的或匹配（Wildcard）的。

App ID字串通常以反網域名稱（reverse-domain-name）格式的Company Identifier（Company ID）作為首碼（Prefix/Seed），一般不超過255個ASCII字元。

App ID全名會被追加Application Identifier Prefix（一般為TeamID.），分為兩類：

Explicit App ID：唯一的App ID，用於唯一標識一個應用程式。例如“com.apple.garageband”這個App ID，用於標識Bundle Identifier為“com.apple.garageband”的App。

Wildcard App ID：含有萬用字元的App ID，用於標識一組應用程式。例如“*”（實際上是Application

Identifier Prefix）表示所有應用程式；而“com.apple.*”可以表示Bundle

Identifier以“com.apple.”開頭（蘋果公司）的所有應用程式。

使用者可在Developer MemberCenter網站上註冊（Register）或刪除（Delete）登入的App IDs。

App ID被配置到【XcodeTarget|Info|Bundle Identifier】下；對於Wildcard App ID，只要bundle identifier包含其作為Prefix/Seed即可。

二.裝置（Device）

Device就是運行iOS系統用於開發調試App的裝置。每台Apple裝置使用UDID來唯一標識。

iOS裝置串連Mac後，可通過iTunes->Summary或者Xcode->Window->Devices擷取iPhone的UDID（identifier）。

Apple Member Center網站個人帳號下的Devices中包含了註冊過的所有可用於開發與測試的裝置，普通個人開發帳號每年累計最多隻能註冊100個裝置。

Apps signed by you or your team run only on designated development devices.

Apps run only on the test devices you specify.

使用者可在網站上註冊或啟用/禁用（Enable/Disable）登入的Device。

本文的Devices是指串連到Xcode被授權用於開發測試的iOS裝置（iPhone/iPad）。

三.開發認證（Certificates）

1.認證的概念

認證是由公證處或認證機關開具的證明資格或權力的證件，它是表明（或協助斷定）事理的一個憑證。證件或憑證的尾部通常會烙印公章。

每個中國人一生可能需要70多個證件，含15種身份證明。證件中“必需的”有30到40個。將這些證件按時間順序鋪開，那就是一個天朝子民的一生——持准生證許可落地，以戶籍證明入籍，以身份證認證身份，持結婚證以合法同居，最終以死亡證明登出。

2.數位憑證的概念

數位憑證就是互連網通訊中標誌通訊各方身份資訊的一串數字，提供了一種在Internet上驗證通訊實體身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構——CA機構，又稱為認證授權中心（Certificate Authority）發行的，人們可以在網上用它來識別對方的身份。

數位憑證是一個經認證授權中心數位簽章的包含公開密鑰擁有者資訊以及公開密鑰的檔案。最簡單的認證包含一個公開密鑰、名稱以及認證授權中心的數位簽章。

數位憑證還有一個重要的特徵就是時效性：只在特定的時間段內有效。

數位憑證中的公開密鑰（公開金鑰）相當於公章。

某一認證領域內的根憑證是CA認證中心給自己頒發的認證，是信任鏈結的起始點。安裝根憑證意味著對這個CA認證中心的信任。

為了防止GFW進行中間人攻擊(MitM)，例如篡改github認證，導致無法訪問github網站等問題，可選擇不信任CNNIC：

在［鑰匙串-系統］中雙擊CNNIC ROOT，在【信任】|【使用此認證時】下拉選擇【永不信任】。

在天朝子民的一生中，戶籍證明可理解為等效的根憑證：有了戶籍證明，才能辦理身份證；有了上流的身份證，才能辦理下遊居住證、結婚證、計劃生育證、駕駛執照等認證。

3.iOS（開發）認證

iOS認證是用來證明iOS App內容（executable code）的合法性和完整性的數位憑證。對於想安裝到真機或發布到AppStore的應用程式（App），只有經過簽名驗證（Signature Validated）才能確保來源可信，並且保證App內容是完整、未經篡改的。

iOS認證分為兩類：Development和Production（Distribution）。

Development認證用來開發和調試應用程式：Adevelopment certificateidentifies you, as a team member, in a development provisioning profile that allows apps signed by you tolaunchon devices.

Production主要用來分發應用程式（根據認證種類有不同作用）：Adistribution certificateidentifies your team or organization in a distribution provisioning profile and allows you tosubmityour app to the store. Only a team agent or an admin can create a distribution certificate.

普通個人開發帳號最多可註冊iOS Development/Distribution認證各2個，使用者可在網站上刪除（Revoke）登入的Certificate。

下文主要針對iOS App開發調試過程中的開發認證（Certificate for Development）。

4.iOS（開發）認證的根憑證

那麼，iOS開發認證是誰頒發的呢？或者說我們是從哪個CA申請到用於Xcode開發調試App的認證呢？

iOS以及Mac OS X系統（在安裝Xcode時）將自動安裝AppleWWDRCA.cer這個中間認證（Intermediate Certificates），它實際上就是iOS（開發）認證的認證，即根憑證（Apple Root Certificate）。

AppleWWDRCA（Apple Root CA）類似註冊管理戶籍的公安機關戶政管理機構，AppleWWDRCA.cer之於iOS（開發）認證則好比戶籍證之於身份證。

如果Mac Keychain Access認證助理在申請認證時尚未安裝過該認證，請先下載安裝（Signing requires that

you have both the signing identity and the intermediate certificate

installed in your keychain）。

5.申請認證（CSR：Certificate Signing Request）

可以在缺少認證時通過Xcode Fix Issue自動請求認證，這裡通過Keychain認證助理從憑證授權單位請求認證：填寫開發帳號郵件和常用名稱，勾選【儲存到磁碟】。

keychain將產生一個包含開發人員身份資訊的CSR（Certificate Signing Request）檔案；同時，Keychain Access|Keys中將新增一對Public/PrivateKey Pair（Thissigning identity consists of a public-private key pair that Apple issues）。

private key始終儲存在Mac OS的Keychain Access中，用於簽名（CodeSign）對外發布的App；public key一般隨認證（隨Provisioning Profile，隨App）散布出去，對App簽名進行校正認證。使用者必須保護好本地Keychain中的private key，以防偽冒。

Keep a secure backup of your public-private key pair. If the private key is lost, you’ll have to create anentirely newidentity to sign code.

Worse, if someone else has your private key, that person may be able toimpersonateyou.

在Apple開發網站上傳該CSR檔案來添加認證（Upload CSR file to generate your certificate）：

Apple憑證授權單位WWDRCA(Apple Worldwide Developer Relations Certification Authority)將使用private key對CSR中的public key和一些身份資訊進行加密簽名產生數位憑證（ios_development.cer）並記錄在案（Apple Member Center）。

從Apple Member

Center網站下載認證到Mac上雙擊即可安裝（當然也可在Xcode中添加開發帳號自動同步認證和[產生]設定檔）。認證安裝成功後，在KeychainAccess|Keys中展開建立CSR時產生的Key

Pair中的私密金鑰前面的箭頭，可以查看到包含其對應公開金鑰的認證（Your requested certificate will be the

public half of the key pair.）；在Keychain

Access|Certificates中展開安裝的認證（ios_development.cer）前面的箭頭，可以看到其對應的私密金鑰。

Certificate被配置到【Xcode Target|Build Settings|Code Signing|Code Signing Identity】下，下拉選擇Identities from Profile "..."（一般先配置Provisioning Profile）。以下是Xcode配置樣本：

四.供應設定檔（Provisioning Profiles）

1.Provisioning Profile的概念

Provisioning Profile檔案包含了上述的所有內容：認證、App ID和裝置。

一個Provisioning Profile對應一個Explicit App ID或Wildcard App

ID（一組相同Prefix/Seed的App IDs）。在網站上手動建立一個Provisioning Profile時，需要依次指定App

ID（單選）、認證（Certificates，可多選）和裝置（Devices，可多選）。使用者可在網站上刪除（Delete）登入的Provisioning

Profiles。

Provisioning Profile決定Xcode用哪個認證（公開金鑰）/私密金鑰組合（Key

Pair/Signing Identity）來簽署應用程式（Signing

Product）,將在應用程式打包時嵌入到.ipa包裡。安裝應用程式時，Provisioning

Profile檔案被拷貝到iOS裝置中，運行該iOS App的裝置也通過它來認證安裝的程式。

如果要打包或者在真機上運行一個APP，一般要經曆以下三步：

首先，需要指明它的App ID，並且驗證Bundle ID是否與其一致；

其次，需要認證對應的私密金鑰來進行簽名，用於標識這個APP是合法、安全、完整的；

然後，如果是真機調試，需要確認這台裝置是否授權運行該APP。

Provisioning Profile把這些資訊全部打包在一起，方便我們在調試和發布程式打包時使用。這樣，只要在不同的情況下選擇不同的Provisioning Profile檔案就可以了。

Provisioning

Profile也分為Development和Distribution兩類，有效期間同Certificate一樣。Distribution版本的ProvisioningProfile主要用於提交App

Store審核，其中不指定開發測試的Devices（0，unlimited）。App ID為Wildcard App ID（*）。App

Store審核通過上架後，允許所有iOS裝置（Deployment Target）上安裝運行該App。

Xcode將全部供應設定檔（包括使用者手動下載安裝的和Xcode自動建立的Team Provisioning Profile）放在目錄~/Library/MobileDevice/Provisioning Profiles下。

2.Provisioning Profile的構成

以下為典型供應設定檔*.mobileprovision的構成簡析：

（1）Name：該mobileprovision的檔案名稱。

（2）UUID：該mobileprovision檔案的真實檔案名稱。

（3）TeamName：Apple ID帳號名。

（4）TeamIdentifier：Team Identity。

（5）AppIDName：explicit/wildcard App ID name（ApplicationIdentifierPrefix）。

（6）ApplicationIdentifierPrefix：完整App ID的首碼（TeamIdentifier.*）。

（7）DeveloperCertificates：包含了可以為使用該設定檔應用簽名的所有認證。

認證是基於Base64編碼，符合PEM(PrivacyEnhanced Mail, RFC 1848)格式的，可使用OpenSSL來處理（opensslx509 -text -in file.pem）。

從DeveloperCertificates提取之間的內容到檔案cert.cer（cert.perm）：

-----BEGIN CERTIFICATE-----

將之間的內容拷貝至此

-----END CERTIFICATE-----`

Mac下右鍵QuickLook查看cert.cer（cert.perm），在Keychain Access中右鍵Get

Info查看對應認證ios_development.cer，正常情況（公私密金鑰KeyPair配對）應吻合；Windows下沒有足夠資訊（WWDRCA.cer），無法驗證該認證。

如果你用了一個不在這個列表中的認證進行簽名，無論這個認證是否有效，這個應用都將CodeSign Fail。

（8）Entitlements鍵對應的：

keychain-access-groups：$(AppIdentifierPrefix)，參見Code Signing Entitlements(*.entitlements)。

每個應用程式都有一個可以用於安全儲存一些如密碼、認證等資訊的keychain，一般而言自己的程式只能訪問自己的keychain。通過對應用簽名時的一些設定，還可以利用keychain的方式實現同一開發人員簽證（就是相同bundle seed）下的不同應用之間共用資訊的操作。比如你有一個開發人員帳戶，並開發了兩個不同的應用A和B，然後通過對A和B的keychain access group這個東西指定共用的訪問分組，就可以實現共用此keychain中的內容。

application-identifier：帶首碼的全名，例如$(AppIdentifierPrefix)com.apple.garageband。

com.apple.security.application-groups：App Group ID（group. com.apple），參見Code Signing Entitlements(*.entitlements)。

com.apple.developer.team-identifier：同Team Identifier。

（9）ProvisionedDevices：該mobileprovision授權的開發裝置的UDID 。

Provisioning Profile被配置到【XcodeTarget|Build Settings|Code Signing|Provisioning Profile】下，然後在Code Signing Identity下拉可選擇Identities from Profile "..."（即Provisioning Profile中包含的Certificates）。

五.開發組供應設定檔（Team Provisioning Profiles）

1.Team Provisioning Profile的概念

每個Apple開發人員帳號都對應一個唯一的Team ID，Xcode3.2.3預發布版本中加入了Team Provisioning Profile這項新功能。

在Xcode中添加Apple Developer Account時，它將與Apple Member Center後台勾兌自動產生iOS Team Provisioning Profile（Managed by Xcode）。

Team Provisioning Profile包含一個為Xcode iOS Wildcard App ID(*)產生的iOS Team

Provisioning Profile:*（匹配所有應用程式），賬戶裡所有的Development

Certificates和Devices都可以使用它在這個team註冊的所有裝置上調試所有的應用程式（不管bundle

identifier是什麼）。同時，它還會為開發人員自己建立的Wildcard/Explicit App IDs建立對應的iOS Team

Provisioning Profile。

2.Team Provisioning Profile產生/更新時機

Add an Apple ID account to Xcode

Fix issue "No Provisioning Profiles with a valid signing identity" in Xcode

Assign Your App to a Team in Xcode project settings of General|Identity

Register new device on the apple development website or Xcode detected new device connected

利用Xcode產生和管理的iOS Team Provisioning Profile來進行開發非常方便，可以不需要上網站手動產生下載Provisioning Profile。

Team Provisioning Profile同Provisioning Profile，只不過是由Xcode自動產生的，也被配置到【XcodeTarget|Build Settings|Code Signing|Provisioning Profile】下。

六.App Group （ID）

1.App Group的概念

WWDC14除了發布了OS X v10.10和switf外，iOS 8.0也開始變得更加開放了。說到開放，當然要數應用擴充（App Extension）了。顧名思義，應用擴充允許開發人員擴充應用的自訂功能和內容，能夠讓使用者在使用其他應用程式時使用該項功能，從而實現各個應用程式間的功能和資源共用。可以將擴充理解為一個輕量級（nimble and lightweight）的分身。

擴充和其Containing App各自擁有自己的沙箱，雖然擴充以外掛程式形式內嵌在Containing

App中，但是它們是獨立的二進位包，不可以互訪彼此的沙箱。為了實現Containing App與擴充的資料共用，蘋果在iOS

8中引入了一個新的概念——App Group，它主要用於同一Group下的APP實現資料共用，具體來說是通過以App Group

ID標識的共用資源區——App Group Container。

App Group ID同App ID一樣，一般不超過255個ASCII字元。使用者可在網站上編輯Explicit App IDs的App Group Assignment；可以刪除（Delete）登入的AppGroup （ID）。

2.App Group的配置

Containing App與Extension的Explicit App ID必須Assign到同一App Group下才能實現資料共用，並且Containing App與Extension的App ID命名必須符合規範：

置於同一App Group下的App IDs必須是唯一的（Explicit，not Wildcard）

Extension App ID以Containing App ID為Prefix/Seed

假如Garageband這個App ID為“com.apple.garageband”，則支援從語音備忘錄匯入到Garageband應用的外掛程式的App ID可能形如“com.apple.garageband.extImportRecording”。

App(ex)

App Group IDProvisioning Profile

Code Signing Identity

（Certificate Key Pair）App ID

（bundle identifier）Devices

（test）

GarageBand

置於同一分組：

group.com.apple（1）共用同一認證：ios_development.cer

（2）共用認證Key Pair中的Private Key進行CodeSigncom.apple.garageband

授權開發測試裝置的UDIDs

GarageBand擴充外掛程式

com.apple.garageband.extImportRecording

關於Provisioning Profile，可以使用自己手動產生的，也可以使用Xcode自動產生的Team Provisioning Profile。

App Group會被配置到【Xcode Target|Build Settings|Code Signing|Code Signing Entitlements】檔案（*.entitlements）的鍵com.apple.security.application-groups下，不影響Provisioning Profile產生流程。

七.認證與簽名（Certificate& Signature）

1.Code Signing Identity

Xcode中配置的Code Signing

Identity（entitlements、certificate）必須與Provisioning

Profile匹配，並且配置的Certificate必須在本機Keychain Access中存在對應Public／Private Key

Pair，否則編譯會報錯。

Xcode所在的Mac裝置（系統）使用CA認證（WWDRCA.cer）來判斷Code Signing Identity中Certificate的合法性：

若用WWDRCA公開金鑰能成功解密出認證並得到公開金鑰（Public Key）和內容摘要（Signature），證明此認證確乃AppleWWDRCA發布，即認證來源可信；

再對認證本身使用雜湊演算法計算摘要，若與上一步得到的摘要一致，則證明此認證未被篡改過，即認證完整。

2.Code Signing

每個認證（其實是公開金鑰）對應Key Pair中的私密金鑰會被用來對內容（executable code，resources such as images and nib files aren’t signed）進行數字簽名（CodeSign）——使用雜湊演算法產生內容摘要（digest）。

Xcode使用指定認證配套的私密金鑰進行簽名時需要授權，選擇【始終允許】後，以後使用該私密金鑰進行簽名便不會再彈出授權確認視窗。

3.Verify Code Signature with Certificate

上面已經提到，公開金鑰被包含在數位憑證裡，數位憑證又被包含在描述檔案(Provisioning File)中，描述檔案在應用被安裝的時候會被拷貝到iOS裝置中。

第一步，App在Mac／iOS真機上啟動時，需要對配置的bundle ID、entitlements和certificate與Provisioning Profile進行匹配校正：

第二步，iOS/Mac真機上的ios_development.cer被AppleWWDRCA.cer中的 public key解密校正合法後，擷取每個開發認證中可信任的公開金鑰對App的可靠性和完整性進行校正。

iOS/Mac裝置（系統）使用App Provisioning Profile（Code Signing Identity）中的開發認證來判斷App的合法性：

若用認證公開金鑰能成功解密出App（executable code）的內容摘要（Signature），證明此App確乃認證開發人員發布，即來源可信；

再對App（executable code）本身使用雜湊演算法計算摘要，若與上一步得到的摘要一致，則證明此App（executable code）未被篡改過，即內容完整。

小結：

基於Provisioning Profile校正了CodeSign的一致性；

基於Certificate校正App的可靠性和完整性；

啟動時，真機的device ID（UUID）必須在Provisioning Profile的ProvisionedDevices授權之列。

八.在多台機器上共用開發賬戶/認證

1.Xcode匯出開發人員帳號(*.developerprofile)或PKCS12檔案(*.p12)

進入Xcode Preferences|Accounts：

選中Apple IDs列表中對應Account的的Email，點擊+-之後的?|Export Accounts，可匯出包含account/code signing identity/provisioning profiles資訊的*.developerprofile（Exporting a Developer Profile）檔案供其他機器上的Xcode開發使用（Import該Account）。

選中右下列表中某行Account Name條目|ViewDetails，可以查看Signing Identities和Provisioning Profiles。

選中欲匯出的Signing Identity條目，點擊欄底+之後的?|Export，必須輸入密碼，並需授權export key "privateKey" from keychain，將匯出Certificates.p12。

點擊左下角的重新整理按鈕可從Member Center同步該帳號下所有的Provisioning Profile到本地。

選中右擊列表中某個Provisioning Profile可以【Show in Finder】到[~/Library/MobileDevice/Provisioning\ Profiles]目錄，其中Provisioning Profile的真實名稱為$(UUID).mobileprovision，名如"2488109f-ff65-442e-9774-fd50bd6bc827.mobileprovision"，其中Name中為Xcode中看到的描述性別名。

2.Keychain Access匯出PKCS12檔案(*.p12)

在Keychain Access|Certificates中選中欲匯出的certificate或其下private key，右鍵Export或者通過菜單File|Export Items匯出Certificates.p12——PKCS12 file holds theprivate keyandcertificate。

其他Mac機器上雙擊Certificates.p12（如有密碼需輸入密碼）即可安裝該共用認證。有了共用認證之後，在開發人員網站上將欲調試的iOS裝置註冊到該開發人員帳號名下，並下載對應認證授權了iOS調試裝置的Provisioning

Profile檔案，方可在iOS真機裝置上開發調試。

九.認證配置常見錯誤

1.no such provisioning profile was found

Xcode Target|Genera|Identity Team下提示"Your build settings specify a

provisioning profile with the UUID "xxx",howerver, no such provisioning

profile was found."

Xcode Target|BuildSettings|Code Signing|當前配置的指定UDID的provisioning

profile在本地不存在，此時需要更改Provisioning Profile。必要時手動去網站下載或重建Provisioning

Profile或直接在Xcode中Fix issue予以解決（可能自動產生iOS Team ProvisioningProfile）！

2.No identities from profile

Build Settings|CodeSigning的Provisioning Profile中選擇了本地安裝的provisioning profile之後，Code Signing Identity中下拉提示No identities from profile “…”or No identities from keychain.

Xcode配置指定UDID的provisioning profile中的DeveloperCertificates在本地KeyChain中不存在（No identities are available）或不一致（KeyPair中的Private Key丟失），此時需去網站檢查ProvisioningProfile中的App ID-Certificate-Device配置是否正確。如果是別人提供的共用帳號（*.developerprofile）或共用認證(*.p12)，請確保匯出了對應Key Pair中的Private Key。必要時也直接在Xcode中Fix issue予以解決（可能自動產生iOS Team ProvisioningProfile）。

3.Code Signing Entitlements file do not match profile

"Invalid application-identifier Entitlement" or "Code Signing Entitlements file do not match those specified in your provisioning profile.(0xE8008016)."

（1）檢查對應版本（Debug）指定的*.entitlements檔案中的“Keychain Access Groups”索引值是否與ProvisioningProfile中的Entitlements項相吻合（後者一般為前者的Prefix/Seed）。

（2）也可以將Build Settings|Code Signing的Provisioning Profile中對應版本（Debug）的Entitlements置空。

4.Xcode配置反應有時候不那麼及時，可重新整理、重設相關配置項開關（若有）或重啟Xcode試試。

Remover
連結：https://www.jianshu.com/p/bd3bf18b811a
來源：簡書
著作權歸作者所有。商業轉載請聯絡作者獲得授權，非商業轉載請註明出處。

iOS 認證詳解