iOS重签名了解一下

什么是代码签名

• 签名： 确保被签名文件的有效性
• 代码签名：iOS里的代码签名，简单概括就是用Mac上的私钥，对app进行一次签名，确保app的完整，防止别人篡改

回顾一下打包app的过程，要做哪些操作
Certificates：需要从证书颁发机构CA那里创建一个.certSigningRequest文件，这是使用非对称加密创建的一对密钥，私钥存在Mac里，公钥就是.certSigningRequest要上传到apple的开发者后台。apple用自己的私钥对.certSigningRequest文件进行签名生成.cer证书，把这个.cer下载下来安装到Mac上，当导出P12格式的证书时会把Mac的私钥一起导出生成P12证书。
Identifiers：创建app的Bundle ID，在创建appid的时候会勾选app用到的哪些权限，比如
Game Center、In-App Purchase、Sign In with Apple等。
Devices：需要调试设备的UDID
Profiles：根据Certificates、Identifiers、Devices生成的描述文件*.mobileprovision
展开mobileprovision可以看到描述文件里包含了Certificates证书、app ID和包含的Entitlements权限、Devices设备的UDID

在打包app的时候Xcode用证书和描述文件对app进行了一次签名。

为什么要重签名

有时候在处理app的时候，需要对app里面的资源进行增删改查的操作，例如更换启动图，修改bundle，修改动态库等，这会破坏原来打包app时候的签名，导致app安装失败，就是安装的时候iOS的系统校验签名失败，需要重新签名才可以安装。

从上面可以知道描述文件里包含了Certificates、Identifiers、Devices等信息，签名的时候需要描述文件里包含的Certificates证书跟所签名的P12证书信息一致才会签名成功，但神奇的是并不需要描述文件里包含的app ID和工程里的app ID（info.plist里的Bundle ID）一致就可以签名成功，所以这也衍生出了超级签、企业签等应用场景，只要我有包含私钥的P12证书和包含这个证书的描述文件，就可以给任意的app签名。

如何进行重签名

对app进行重签名，首先得有个app吧，使用Xcode打包出来的是ipa包，ipa包解压出来的结构是Payload/*.app

有app包之后，重签名需要用到包含Mac私钥的P12证书，包含证书、app ID、device ID的描述文件.mobileprovision

把P12证书安装到Mac上后，要获取到这个证书的ID，以下命令可以查看电脑上所安装的所有证书，找到对应的证书ID，使用证书ID或者证书名字都可以

$ security find-identity -v -p codesigning

    1) C6C00376F3FAB3BFB33ECCE44D4698B1D5A4E293 "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)"

把描述文件adhoc.mobileprovision拷贝到app的根路径里，名字改为embedded.mobileprovision，名字是固定写法

$ cp adhoc.mobileprovision Payload/dis.app/embedded.mobileprovision

把描述文件adhoc.mobileprovision转成.plist文件格式输出，方便后续获取其中的权限列表

$ security cms -D -i adhoc.mobileprovision > entitlements_full.plist

截取描述文件中的权限文件，用于app的签名

$ /usr/libexec/PlistBuddy -x -c 'Print:Entitlements' entitlements_full.plist > entitlements.plist

用前面获取到的证书ID或者证书名字、描述文件里获取到的权限列表对app进行签名
如果app内包含了动态库，需要先对动态库进行签名，再对app签名，区别是动态库的签名不需要附加权限列表，动态库的路径是Payload/*.app/Frameworks/*.framework，以下是对动态库进行签名，如果app中没有动态库，可以跳过

$ /usr/bin/codesign --continue -f -s "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)" Payload/*.app/Frameworks/*.framework

接着对app进行签名，以下命令

$ /usr/bin/codesign --continue -f -s "iPhone Distribution: CaiEn Rong (4Q3SJV59SN)" --entitlements "entitlements.plist" Payload/*.app

签名完成后，可以校验一波签名是否有效，如果没有任何输出，这说明签名有效，Unix的设计就是这样，没有输出就是最好的输出

$ codesign -v Payload/*.app

最后把Payload文件压缩一波，改成ipa格式就可以使用了。