iOS数字签名及ipa重签名

iOS数字签名及ipa重签名

ipa重签名是指对已经打包好的ipa，利用新的证书重新签名。

重签名目的：越狱包重签名运行到非越狱手机进行调试。

手动重签名大体步骤(以墨迹天气app 为例子)：

1.删除插件Plugins文件夹以及里面的内容。

2.Watch 直接干掉!（）（微信有这一步，其他App无）

3.对 Frameworks 进行签名!

4.给可执行文件执行权限! chmod +x WeChat

5.拷贝描述文件

6.修改info.plist 的Bundle ID!

7.生成plist的权限文件

8.签名整个APP!

$codesign -fs "iPhone Developer: xxx  (5ZBE4C879L)"  --no-strict --entitlements=en.plist WeChat.app

9.打包 生成zip

$zip -ry WeChat.ipa Payload

作者：道道明明白白
链接：https://www.jianshu.com/p/4e19244dd12e
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

ipa重签名作用：

作用一：
有时候公司在进行软件开发的时候, 发布软件初期使用的是个人账号或者是公司账号，但是因为某种需要要使用企业账号进行分发这个应用，但是这时候可能出现一个问题就是不能再次使用原来的Bundle ID了，苹果规定Bundle ID必须是唯一的，更换Bundle ID就可以解决问题。但是新的问题就出现了，因为原先的微博、统计、以及推送的功能就失效了，这样又要重新配置新的BundleId，而且会对以前的版本造成影响。这时候就要使用到ipa重签解决问题了。

作用二：
手机不想越狱，但是又想使用App Store上面的收费软件，我们如何解决呢？其实很多苹果助手就是用企业证书把App重签提供下载的。作为iOS开发者的我们，也可以使用自己的证书进行重签，以测试的身份使用App。

重签名原理

数字签名使用了非对称加密和摘要算法的结合。假设有一段原文本需要发布，为了防止中途文本类容被篡改，保证文本的完整性以及文本是由指定机构发的。首先，将原文本内容通过摘要算法，得到摘要，在用指定机构的私钥对摘要进行加密得到密文，加原文本、密文和私钥对应的公钥一并发布。当验证方拿到这些信息后，首先验证公钥是不是指定机构的，然后用公钥对密文进行解密得到摘要，将原文本内容用同样的摘要算法得到摘要，两个摘要进行对比，如果相等那么文本正常，否则文本无效。

screenshot.png

CertificateSigningRequest.certSigningRequest

我们生成开发者证书的第一步是开发者在KeyChain中生成一个证书申请文件（CSR），该文件包含信息：

• 申请者的信息，此信息使用申请者的私钥加密的
• 申请者公钥，此信息是申请者使用的私钥对应的公钥
• 摘要算法（SHA1）和公钥加密算法(RSA)

开发者证书

苹果去除CSR中的公钥，不管我的其他信息，将我MemberCenter（MC）中的账号信息和我提交的公钥封装在证书中，并进行数字签名（由苹果的认证部门 Apple Worldwide Developer Relations CA签名）。当我们下载证书并安装后，KeyChain会自动将这对密钥关联起来。

screenshot.png

配置文件

配置文件包含信息：

• App ID。
• 使用了哪些证书。不同种类发布方式的证书和推送证书APN等。
• 功能授权列表。
• 可安装的设备列表。
• 苹果的签名！

其中苹果的签名是苹果签的，和我们的私钥没有关系。因此配置文件只能从MC获取，且获取后无法修改。苹果通过配置文件限制了前面四项内容，从而将控制权牢牢的抓在手中。

ipa的组成

ipa解压后，得到Payload目录，其中的内容如下：

screenshot.png

1.资源文件。例如图片、html等。
2._CodeSignature/CodeResources。这是一个plist文件，可用文本查看，其中的内容就是是程序包中（不包括Frameworks）所有文件的签名。注意这里是所有文件。意味着你的程序一旦签名，就不能更改其中任何的东西，包括资源文件和可执行文件本身。iOS系统会检查这些签名。
3.app。可执行文件。此文件跟资源文件一样需要签名。
4.embedded mobileprovision。打包时候使用的，从MC上生成的。
5.Frameworks。程序引用的非系统自带的Frameworks，每个Frameworks其实就是一个app，其中的结构应该和app差不多，也包含签名信息CodeResources文件。

Xcode构建过程中，使用签名的重要过程就是通过codesign命令行工具对工程文件进行私钥加密。

iOS设备如何验证app是否合法

关键步骤：
1.解压ipa。
2.取出embedded mobileprovision，通过签名校验是否被篡改过。包括几个证书中的公钥、BundleID、App ID、功能列表、设备列表等等。
3.校验所有文件的签名，包括Frameworks。
4.比对Info.plist文件里面的BundleID是否符合embedded mobileprovision文件中的。

ipa重签名的流程

大致步骤：
1.解压ipa。
2.如果存在Frameworks子目录，则对.app文件夹下的所有Frameworks进行签名，在Frameworks文件夹下的.dylib或.framework。
3.对xxx.app签名。
4.重新打包。

重签名具体步骤

主要是替换ipa包里面的_CodeSignature和embedded.mobileprovision两个文件，以及entitlements.plist授权文件。

1.解压ipa安装包

cp olinone.ipa olinone.zip

2、替换证书配置文件（文件名必须为embedded，不得自定义）

cp embedded.mobileprovision Payload/olinone.app

3、重签名（certifierName为重签名证书文件名，可以加证书ID后缀）

certifierName="iPhone Distribution: olinone Information Technology Limited(6a5TVN58SY)"
codesign -f -s $certifierName  --entitlements entitlements.plist Payload/olinone.app

4、打包

zip -r olinone.ipa Payload

ipa表示是证书ID + BundleID,只有两者完全匹配，安装包才能覆盖安装，否则就会提示安装失败。解决办法就是卸载安装包，重新安装！

还可以使用iReSign工具重签名（https://github.com/maciekish/iReSign）。

1.代码签名探析
2.漫谈iOS程序的证书和签名机制 
3.Inside Code Signing