苹果管控安装过程，需要解决的问题

• 开发者安装调试app到收手机上，
• 企业账号不需要上架，还能安装。

为了解决上面的问题，苹果引入了签名功能。但是有引发了新的问题，就是一个证书导致安装滥用，为了解决这个问题，在签名的基础上又添加了两个限制，因此就生成了一个权限文件，就是描述文件(provision profile)

两个限制是:

• 苹果后台注册过的设备才能安装，
• 签名只能针对某一个app。

描述文件包含的文件：

1.设备IDs(添加多个设备，个人是100台)；
2，用户的AppID；
3.Entitlements(权利文件(包含真机测试等权限))；

开发过程中，将app安装到手机上的签名过程

第一步: 申请证书

通过mac上的公钥生成的CSR文件，到苹果服务器请求证书和描述文件；

 1.生成的CSR文件，其实就是一个公钥的组成部分。
 2.查看CSR文件的内容，
  a.使用终端，输入cat CertificateSigningRequest.certSigningRequest
  b.openssl asn1parse -i -in CertificateSigningRequest.certSigningRequest
CSR文件中使用rsaEncryption算法  ，进行HSAH加密sha256WithRSAEncryption

第二步:将APP安装到手机之前进行操作

 1.准备app的二进制文件，
 2.使用mac上的私钥对app进行签名,
 3.打包，将证书、描述文件、二进制文件和签名文件一起打包进行安装；

第三步: 进行真机测试之前验证证书是否合法和APP签名是否合法。

• 验证证书是否合法
• 验证App签名是否合法

验证过程：取出证书信息，然后通过手机上的公钥对证书进行解密，得到本地公钥，对公钥进行HASH，然后和解密的HASH对比，看是否被串改，HASH正确后，本地公钥解密APP解密，解密成功后，说明签名合法。

签名过程图.png

代码重签名有三种:

1.手动重签;
2.Xcode重签;
3.shell脚本重签；

1.手动重签

准备工作

a.查看本地可用的描述文件

1.cd ~/Library/MobileDevice/Provisioning\ Profiles
2.ls
3.open.(查看文件中所有的描述文件)

b.查看应用是否签名

$codesign -vv -d app路径

c.查看本机所有授权证书

$security find-identity -v -p codesigning

d.查看可执行文件的加密信息

$otool -l WeChat | grep crypt

e.签名命令

$codesign -fs "证书" 需要签名的文件
#整个App签名
$codesign -fs "授权证书"  --no-strict --entitlements=生成的plist文件 WeChat.app
打包zip
$zip -ry WeChat.ipa Payload(通过Payload文件夹)

f.查看可用描述文件的权限文件

1.security cms -D -i 描述文件的名称
2.找到里面的<key>Entitlements</key>中间的字典对
3.Xcode中创建一个plist文件把描述文件内容粘贴里面可以查看信息。

手动重签名的步骤(App必须是越狱过的应用)

• 干掉插件Plugins文件夹里面的内容!
• Watch 直接干掉!
• 对 Frameworks 进行签名!
• 给可执行文件执行权限! chmod +x WeChat
• 拷贝描述文件
• 修改info.plist 的Bundle ID!
• 生成plist的权限文件
• 签名整个APP!
• 打包(其实就是一个zip)

2.Xcode签名的步骤

1.将新建的程序运行在真机上，
2.干掉插件Plugins文件夹里面的内容!
3.Watch 直接干掉!
4.对 Frameworks 进行签名! 
5.给可执行文件执行权限! 
6.修改info.plist 的Bundle ID!
7.运行程序

3.shell脚本签名过程

在创建的工程中新建一个APP文件夹，然后把需要安装的越狱应用的ipa包拖进去，再在Bulid Phases中添加一个Run Script,复制脚本到里面，然后真机测试。

# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"

#新建Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"

#----------------------------------------
# 1.解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

#拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
#echo "路径是:$TEMP_APP_PATH"

#-----------------------------------------
#2.将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
#TARGET_NAME taregt名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_IPA_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"
#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"



#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
#  设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH"];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#签名
#EXPANDED_CODE_SIGN_IDENTITY Xcode中的证书参数
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

脚本执行图.png

对脚本签名的进一步优化

1.本地生成一个.sh的文件，然后将自动化脚本放入，
2.将本地的.sh文件的路径添加到工程中Build Phases中的Run Script中，
3.最重要的一点，就是对本地的.sh进行授权操作。