App 上架 AppStore和证书的各种区别

App 上架 AppStore 需要经过苹果的审核，违规 App 不能上架。苹果 iOS 系统有一套完善的加密方案，在不越狱破解的情况下，非 AppStore 下载的 App 需要证书签名，才能在 iOS 上运行。证书需要向苹果申请，有几类证书。免费证书。用于入门级开发者，可以用 Xcode 真机调试，不能上架 AppStore。个人开发者证书。需要收费，支持个人真机调试，可以将上架 AppStore。公司证书。需要收费，支持多人协作开发，可以将上架 AppStore。企业证书。需要收费，支持企业自己发布 App, 不可以上架到 AppStore。某些 App 可以通过 Safari 下载，信任证书后正常使用。这种 App 就是用了企业证书。为什么苹果公司允许企业证书呢？顾名思义，企业证书是在企业内部使用的。正常情况下，企业证书有如下用途。某些 App 只是企业内部使用，不方便上架 AppStore。比如企业内部有个 OA 系统，用于员工打卡、请假、收发邮件。企业为 OA 系统开发了 iOS 的 App。这个 App 对企业内部员工很有用，企业外用户完全无用。因此这个 OA 系统 App 不方便上架 AppStore，就算想上架，也不能审核通过。某些 App 虽然可上架 AppStore 外发，但新版本还在开发测试过程中。使用企业证书签名 App，放到网上，员工打开网页就可下载，方便测试。在开发测试期间，往往一天好几次构建新安装包，内部员工（特别是测试人员）在网上可以下载到最新的测试包。------------------------假如通过企业证书，将一些内容违规（比如色情、政策、版权、隐私等）不能上架的 App 外发给用户，属于滥用企业证书。也有些 App 本身内容并没有什么不妥，实际可以上架 AppStore。但它包含内购，而不想给苹果分成。苹果规定，假如 App 内购买的虚拟物品，是用于 App 本身的，就需要接入并且只能接入苹果的应用内购买(In-App Purchase，IAP)，比如某些会员充值，游戏道具购买之类。但假如使用苹果的 IAP，内购收益需要分给苹果三成。有些 App 不想给苹果分成，想使用微信、支付宝等第三方支付，就用企业证书来分发 App。对于苹果公司来说，这也是滥用企业证书。苹果公司不允许滥用企业证书。一旦发现，情况恶劣，会封杀企业证书，企业证书被封杀后，企业自己发布的 App 就闪退不能用了。另一个惩罚是，将开发者(个人或公司）列入黑名单。列入黑名单后，审核通常会非常慢。有时不仅仅是违规 App，而是这个开发者名下的所有 App 审核都非常慢。正常情况下，App 平均审核时间是两三天。但黑名单上的开发者，有时会审核几周，甚至几个月。几个月不能发布新版本，就会损失很大。更重的惩罚是，将开发者名下的 App 全部下架，整改后才能重新上架。有些企业为了避免牵连，有时会用不同的银行卡注册不同的开发账号。需要用不同的银行卡，因为苹果公司会检查银行卡账号，银行卡账号相同的，基本可以判断是同一个用户。自然有时会误杀。个人开发者，不要将自己的银行卡借给他人（比如亲戚）注册开发者账号，不然可能会受到牵连。苹果对企业证书管理比较严，催生了淘宝上的一个生意，租售企业证书。有些 App，因为内容违规或其它原因不能上架，但又不想暴露自己的企业证书。就会在淘宝上租借或购买其他企业证书来签名发布，跟苹果公司打游击战。淘宝某个企业证书暴露被封杀了，又换一个企业证书重新签名发布。------------------------iOS 证书，实际是某种数字签名。数字签名基于非对称加密，目的是保证文件没有被篡改。比如 Alice 想发文件给 Bob，就生成一对私钥和公钥。Alice 保留私钥，而将公钥发给 Bob（也可不通过网络而用其它手段，比如邮寄一个存储公钥的 U 盘）。要发文件了，Alice 就先计算文件的摘要，然后将摘要用私钥加密，将文件和加密摘要一起发给 Bob。Bob 就用公钥将摘要解密，同时计算出文件的摘要信息。之后对比解密后的摘要，和计算出来的摘要，假如两者相同，就表示文件没有被篡改。下面我粗略描述一下 App 认证流程，细节可能有误。苹果有一对私钥和公钥，私钥在他的服务器上，经过重重保护。而对应的公钥内嵌在每一台 iOS 设备上。当开发者注册证书时，会在本机生成私钥和公钥，将公钥上传给苹果服务器。苹果服务器用自身的私钥，对开发者上传的公钥做数字签名，生成证书(cer)。经过苹果的私钥签名，就保证这个开发者证书没有被篡改。这个证书并非公钥本身，但它包含了公钥。同时开发者会将 App 的描述文件(.mobileprovision) 下载回本机。描述文件主要用于控制 App 的权限，比如这个是否推送、是否支持 iCould 等。原则上，证书(cer) 和描述文件(.mobileprovision) 是可以合并的。但每个 App 的权限都有所不同，于是就将其拆分成证书和描述文件。当 App 构建签名时，选择证书(cer) 和描述文件(mobileprovision)，会寻找对应的私钥，找不到私钥就会签名失败。之后计算 App 所有资源的摘要，将摘要用私钥加密，生成一个 _CodeSignature 的目录。同时会将公钥和权限信息嵌入到最终生成包中，生成 embedded.mobileprovision。_CodeSignature 中的摘要经过私钥加密，embedded.mobileprovision 包含对应的公钥用于加密（这个公钥经过苹果自身私钥的签名，保证不会被篡改）。私钥只在本机中保存，用于构建时加密，并不会包含在安装包中。上述签名过程，Xcode 是全自动的，开发者没有必要了解其过程。整个流程，私钥都只保存在本机中，并没有经过网络，假如私钥经过网络传输，就可能被窃取而不够安全。而本机上的私钥，可以导出成 p12 文件，导入到另一台开发机中。------------------------用户安装这个 App 后，需要手动信任描述文件。信任后，苹果用自家的公钥来验证开发者的公钥没有被篡改。再用开发者的公钥将 _CodeSignature 保持的摘要信息解密，验证 App 的资源本身没有被篡改。经过验证，App 就可以运行。App 内的描述文件，需要用户手动选择信任。App 不可能在用户不知情的情况下偷偷运行。企业证书签名过的 App, 加密的摘要，和用于解密的描述文件都包含在安装包中。因此用户用Safari 打开链接、安装、信任描述文件后，就可以运行。而开发者上传到 AppStore 上的 App，会经过苹果的私钥重新加密签名。因此在 AppStore 上下载的 App，不用手动点信任，也可以直接运行。iOS 设备必然可信任苹果自身的证书。iOS 也有第三方应用商店，比如 PP 助手、同步推等等。这些商店号称免费安装任何 App，实际是去抓别人的 App，用自己的企业证书重新签名。因而信任第三方商店证书之后，就可以免费运行众多收费 App。但这是有隐患的，你不知道这些商店重新签名时，添加了些什么东西。第三方商店为了盈利，也很有动力偷偷添加些佐料。从第三方商店下载的 App 往往过了一段时间就突然闪退不能用了，很可能是他们的企业证书过期或者被封杀了。对于最终用户，没有必要理解上述验证。只需要记住，不要安装来历不明的 App。就算不小心安装了，也不要信任其描述文件。只要不信任，它就没有办法运行。只在 AppStore 下载 App，不要为了贪小便宜去第三方商店下载 App，也不要越狱 iOS 系统。现在的手机不单单是电话本身，还是你的钱包、名片，实在太重要了。