iOS重簽名探索

前言

由于最近做面向企業(yè)的SDK,經(jīng)常會(huì)跟其它企業(yè)合作,公司同步需要測試他們的ipa包來驗(yàn)收功能,而好多公司并沒有企業(yè)證書,公司內(nèi)部的越獄機(jī)器也不足,所以重簽名后把他們的ipa包換為自己的企業(yè)證書無非是最好的方式;之前也知道可以重簽名,但還真沒有實(shí)際用過,接下來我們來慢慢揭開它神秘的面紗吧。

準(zhǔn)備

首先你應(yīng)該已經(jīng)有你的證書了,我此次使用的是企業(yè)證書,用來把公司證書替換為企業(yè)證書,以便于所有人都能安裝。
不會(huì)證書申請的看這里

codesign命令簽名

參考我之前收藏過的一篇objcio的文章
用 codesign 來設(shè)置簽名非常簡單,我們現(xiàn)在嘗試用下面列出的這個(gè)證書來為 Example.app 設(shè)置簽名:

$ codesign -s 'iPhone Distribution: xxxx xxx Technology Co., Ltd.' Example.app

不過這一步我們通常是用不上的,因?yàn)橥ǔG闆r下我們的app已經(jīng)有過證書了,通過下面的代碼查看app的簽名信息

$codesign -vv -d Example.app

會(huì)出現(xiàn)bundleId、證書等信息


這里介紹一個(gè)可以用Mac預(yù)覽功能直接查看ipa信息的軟件ipaHelper,安裝app后就可以了,效果如圖

該app已經(jīng)經(jīng)過簽名過的,我們必須帶上 -f 參數(shù),有了這個(gè)參數(shù),codesign 會(huì)用你選擇的簽名替換掉已經(jīng)存在的那一個(gè)

$ codesign -f -s 'iPhone Distribution: xxxx xxx Technology Co., Ltd.' Example.app

下面我們就嘗試首次重簽名吧
1.首先把ipa文件改后綴為.zip并解壓縮,我們可以在Payload文件夾內(nèi)看到Example.app,
2.右鍵點(diǎn)擊Example.app,顯示包內(nèi)容,此app的所有資源文件都在里面了,其中embedded.mobileprovision就是證書文件,_CodeSignature就是簽名文件,把我們自己的證書改名為embedded.mobileprovision并替換掉之前老的
3.用$ codesign -f -s 'iPhone Distribution: xxxx xxx Technology Co., Ltd.' Example.app重簽名,顯示replacing existing signature大功告成。重新壓縮解壓過的Payload文件夾,把后綴改為ipa,開心的安裝吧。

what、what、what 用PP助手安裝提示ApplicationVerificationFail,當(dāng)然這是認(rèn)證失敗的意思,不用多想,當(dāng)然是簽名方式不對(duì),之后各種google重簽名的資料,發(fā)現(xiàn)好多文件在codesign中都有一段--entitlements entitlements.plist,而我并沒有在app里面見著這個(gè)文件,而都有說沒有這個(gè)entitlements.plist重簽名出來就安裝不了,卻都不說這個(gè)文件怎么來,按照objcio自己新建了一個(gè)plist文件,把如下內(nèi)容的證書名和團(tuán)隊(duì)名換為自己的,打包,還是認(rèn)證失敗

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> 
<dict>
 <key>application-identifier</key> 
<string>7TPNXN7G6K.ch.kollba.example</string>
 <key>aps-environment</key>
 <string>development</string>
 <key>com.apple.developer.team-identifier</key> 
<string>7TPNXN7G6K</string> 
<key>com.apple.developer.ubiquity-container-identifiers</key> 
<array>
 <string>7TPNXN7G6K.ch.kollba.example</string> 
</array> 
<key>com.apple.developer.ubiquity-kvstore-identifier</key> <string>7TPNXN7G6K.ch.kollba.example</string> 
<key>com.apple.security.application-groups</key> 
<array> 
<string>group.ch.kollba.example</string>
 </array>
 <key>get-task-allow</key>
 <true/>
</dict> 
</plist>

最后在一篇微信自動(dòng)搶紅包的文章找到作者重簽名開源出來的代碼,找到如下兩行,就是生成對(duì)應(yīng)證書的entitlements.plist文件的代碼

$security cms -D -i "extracted/Payload/$APPLICATION/embedded.mobileprovision" > t_entitlements_full.plist
$/usr/libexec/PlistBuddy -x -c 'Print:Entitlements' t_entitlements_full.plist > t_entitlements.plist

按照如上命令生成entitlements.plist重新用codesign簽名后終于成功安裝。

需要注意的是:如果app包內(nèi)包含其它的需要簽名的文件,如插件、iwatch、Framework等都需要再次簽名,幸運(yùn)的是在iOS_resign_scripts內(nèi)部已經(jīng)把這個(gè)工作做了,所以使用這個(gè)腳本會(huì)自動(dòng)重簽名app內(nèi)部所有需要簽名的文件,當(dāng)然我們可以自己用codesign分別簽名,用來提升自己的B格。

注:需要修改bundleId的童鞋直接在info.plist里面修改了再簽名就ok了

iOS_resign_scripts解讀

非常感謝作者開源的精神,下面讓我們來解讀下原作者的重簽名腳本吧(已忽略多余代碼)
給各變量賦值,分別是源路徑、證書名、.mobileprovision路徑、導(dǎo)出包路徑

SOURCEIPA="$1"
DEVELOPER="$2"
MOBILEPROV="$3"
TARGET="$4"

解壓源ipa文件,拷貝新的證書到.app內(nèi)部

unzip -qo "$SOURCEIPA" -d extracted
 
APPLICATION=$(ls extracted/Payload/)
 
cp "$MOBILEPROV" "extracted/Payload/$APPLICATION/embedded.mobileprovision"

查找所有需要簽名的文件到directories.txt,生成簽名時(shí)需要的t_entitlements.plist

find -d extracted  \( -name "*.app" -o -name "*.appex" -o -name "*.framework" -o -name "*.dylib" \) > directories.txt
security cms -D -i "extracted/Payload/$APPLICATION/embedded.mobileprovision" > t_entitlements_full.plist
/usr/libexec/PlistBuddy -x -c 'Print:Entitlements' t_entitlements_full.plist > t_entitlements.plist

遍歷directories.txt所有行,即所有需要簽名的文件,然后分別給它們簽名

while IFS='' read -r line || [[ -n "$line" ]]; do
    /usr/bin/codesign --continue -f -s "$DEVELOPER" --entitlements "t_entitlements.plist"  "$line"
done < directories.txt

壓縮生成ipa文件,刪除其它臨時(shí)文件

cd extracted
zip -qry ../extracted.ipa *
cd ..
mv extracted.ipa "$TARGET"
rm -rf "extracted"
rm directories.txt
rm t_entitlements.plist
rm t_entitlements_full.plist

最后有了上面的解析是不是你也可以寫出適合自己的重簽名腳本了呢,別等了,動(dòng)手試試吧。

其它打包方式

iReSign:簡單方便的重簽名工具,經(jīng)測試只能打無插件的包,更換證書需要更改bundleid。
sigh:經(jīng)測試可以重簽名無插件的包,更換證書需要更改bundleid;有簽名app內(nèi)插件的功能,但我簽名后還是安裝不了。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容