ipa重签名是指对已经打包好的ipa,利用新的证书重新签名。
ipa重签名作用:
作用一:
有时候公司在进行软件开发的时候, 发布软件初期使用的是个人账号或者是公司账号,但是因为某种需要要使用企业账号进行分发这个应用,但是这时候可能出现一个问题就是不能再次使用原来的Bundle ID了,苹果规定Bundle ID必须是唯一的,更换Bundle ID就可以解决问题。但是新的问题就出现了,因为原先的微博、统计、以及推送的功能就失效了,这样又要重新配置新的BundleId,而且会对以前的版本造成影响。这时候就要使用到ipa重签解决问题了。
作用二:
手机不想越狱,但是又想使用App Store上面的收费软件,我们如何解决呢?其实很多苹果助手就是用企业证书把App重签提供下载的。作为iOS开发者的我们,也可以使用自己的证书进行重签,以测试的身份使用App。
重签名原理
数字签名使用了非对称加密和摘要算法的结合。假设有一段原文本需要发布,为了防止中途文本类容被篡改,保证文本的完整性以及文本是由指定机构发的。首先,将原文本内容通过摘要算法,得到摘要,在用指定机构的私钥对摘要进行加密得到密文,加原文本、密文和私钥对应的公钥一并发布。当验证方拿到这些信息后,首先验证公钥是不是指定机构的,然后用公钥对密文进行解密得到摘要,将原文本内容用同样的摘要算法得到摘要,两个摘要进行对比,如果相等那么文本正常,否则文本无效。
CertificateSigningRequest.certSigningRequest
我们生成开发者证书的第一步是开发者在KeyChain中生成一个证书申请文件(CSR),该文件包含信息:
- 申请者的信息,此信息使用申请者的私钥加密的
- 申请者公钥,此信息是申请者使用的私钥对应的公钥
- 摘要算法(SHA1)和公钥加密算法(RSA)
开发者证书
苹果去除CSR中的公钥,不管我的其他信息,将我MemberCenter(MC)中的账号信息和我提交的公钥封装在证书中,并进行数字签名(由苹果的认证部门 Apple Worldwide Developer Relations CA签名)。当我们下载证书并安装后,KeyChain会自动将这对密钥关联起来。
配置文件
配置文件包含信息:
- App ID。
- 使用了哪些证书。不同种类发布方式的证书和推送证书APN等。
- 功能授权列表。
- 可安装的设备列表。
- 苹果的签名!
其中苹果的签名是苹果签的,和我们的私钥没有关系。因此配置文件只能从MC获取,且获取后无法修改。苹果通过配置文件限制了前面四项内容,从而将控制权牢牢的抓在手中。
ipa的组成
ipa解压后,得到Payload目录,其中的内容如下:
1.资源文件。例如图片、html等。
2._CodeSignature/CodeResources。这是一个plist文件,可用文本查看,其中的内容就是是程序包中(不包括Frameworks)所有文件的签名。注意这里是所有文件。意味着你的程序一旦签名,就不能更改其中任何的东西,包括资源文件和可执行文件本身。iOS系统会检查这些签名。
3.app。可执行文件。此文件跟资源文件一样需要签名。
4.embedded mobileprovision。打包时候使用的,从MC上生成的。
5.Frameworks。程序引用的非系统自带的Frameworks,每个Frameworks其实就是一个app,其中的结构应该和app差不多,也包含签名信息CodeResources文件。
Xcode构建过程中,使用签名的重要过程就是通过codesign命令行工具对工程文件进行私钥加密。
iOS设备如何验证app是否合法
关键步骤:
1.解压ipa。
2.取出embedded mobileprovision,通过签名校验是否被篡改过。包括几个证书中的公钥、BundleID、App ID、功能列表、设备列表等等。
3.校验所有文件的签名,包括Frameworks。
4.比对Info.plist文件里面的BundleID是否符合embedded mobileprovision文件中的。
ipa重签名的流程
大致步骤:
1.解压ipa。
2.如果存在Frameworks子目录,则对.app文件夹下的所有Frameworks进行签名,在Frameworks文件夹下的.dylib或.framework。
3.对xxx.app签名。
4.重新打包。
重签名具体步骤
主要是替换ipa包里面的_CodeSignature和embedded.mobileprovision两个文件,以及entitlements.plist授权文件。
1.解压ipa安装包
cp olinone.ipa olinone.zip
2、替换证书配置文件(文件名必须为embedded,不得自定义)
cp embedded.mobileprovision Payload/olinone.app
3、重签名(certifierName为重签名证书文件名,可以加证书ID后缀)
certifierName="iPhone Distribution: olinone Information Technology Limited(6a5TVN58SY)"
codesign -f -s $certifierName --entitlements entitlements.plist Payload/olinone.app
4、打包
zip -r olinone.ipa Payload
ipa表示是证书ID + BundleID,只有两者完全匹配,安装包才能覆盖安装,否则就会提示安装失败。解决办法就是卸载安装包,重新安装!
还可以使用iReSign工具重签名(https://github.com/maciekish/iReSign)。
