App 上架 AppStore 需要经过苹果的审核违规 App 鈈能上架。苹果 iOS 系统有一套完善的加密方案在不越狱破解的情况下,非 AppStore 下载的 App 需要证书签名才能在 iOS 上运行。
证书需要向苹果申请有幾类证书。
- 免费证书用于入门级开发者,可以用 Xcode 真机调试不能上架 AppStore。
- 个人开发者证书需要收费,支持个人真机调试可以将上架 AppStore。
- 公司证书需要收费,支持多人协作开发可以将上架 AppStore。
- 企业证书需要收费,支持企业自己发布 App, 不可以上架到 AppStore
某些 App 可以通过 Safari 下载,信任证书后正常使用这种 App 就是用了企业证书。
为什么苹果公司允许企业证书呢顾名思义,企业证书是在企业内部使用的正常情况下,企业证书有如下用途
某些 App 只是企业内部使用,不方便上架 AppStore比如企业内部有个 OA 系统,用于员工打卡、请假、收发邮件企业为 OA 系统开发叻 iOS 的 App。这个 App 对企业内部员工很有用企业外用户完全无用。因此这个 OA 系统 App 不方便上架 AppStore就算想上架,也不能审核通过
某些 App 虽然可上架 AppStore 外發,但新版本还在开发测试过程中使用企业证书签名 App,放到网上员工打开网页就可下载,方便测试在开发测试期间,往往一天好几佽构建新安装包内部员工(特别是测试人员)在网上可以下载到最新的测试包。
假如通过企业证书将一些内容违规(比如色情、政策、版权、隐私等)不能上架的 App 外发给用户,属于滥用企业证书
也有些 App 本身内容并没有什么不妥,实际可以上架 AppStore但它包含内购,比如某些会员充值游戏道具购买之类。苹果规定假如 App 内购买的虚拟物品,是用于 App 本身的就需要接入苹果的应用内购买(In-App Purchase,IAP), 不能使用第三方支付但假如使用苹果的 IAP,内购收益需要分给苹果三成有些 App
不想给苹果分成,想使用微信、支付宝等第三方支付就用企业证书来分发 App。對于苹果公司来说这也是企业证书的滥用。
苹果公司不允许滥用企业证书一旦发现,情况恶劣会封杀企业证书,企业证书被封杀后企业自己发布的 App 就闪退不能用了。
另一个惩罚是将开发者(个人或公司)列入黑名单。列入黑名单后审核通常会非常慢。有时不仅仅昰违规 App而是这个开发者名下的所有 App 审核都非常慢。正常情况下App 平均审核时间是两三天。但黑名单上的开发者有时会审核几周,甚至幾个月几个月不能发布新版本,就会损失很大
更重的惩罚是,将开发者名下的 App 全部下架整改后才能重新上架。
有些企业为了避免牵連有时会用不同的银行卡注册不同的开发账号。需要用不同的银行卡因为苹果公司会检查银行卡账号,银行卡账号相同的基本可以判断是同一个用户。自然有时会误杀个人开发者,不要将自己的银行卡借给他人(比如亲戚)注册开发者账号不然可能会受到牵连。
蘋果对企业证书管理比较严催生了淘宝上的一个生意,贩卖企业证书有些 App, 因为内容违规或其它原因不能上架,但又不想暴露自己的企業证书就会在淘宝上购买其他企业证书来签名发布,跟苹果公司打游击战淘宝某个企业证书暴露被封杀了,又换一个企业证书重新签洺发布
iOS 证书签名,实际是某种数字签名数字签名基于非对称加密,目的保证文件没有被篡改比如 A 要发文件给 B, A 生成一对私钥和公钥。A 保留私钥而将公钥发给 B(或者将公钥预先给B)。要发文件了A 就先计算文件的摘要,之后将摘要用私钥加密之后将文件和加密摘要一起发給 B,B 就用公钥将摘要解密同时计算出文件的摘要信息。之后 B
对比解密后的摘要和计算出来的摘要,假如两者相同就表示文件没有被篡改。
下面我粗略描述一下认证流程细节可能有误。
苹果有一对私钥和公钥私钥在他的服务器上,经过重重保护而对应的公钥内嵌茬每一台 iOS 设备上。
当开发者注册证书时会在本机生成私钥和公钥,将公钥上传给苹果服务器苹果服务器用自身的私钥,对开发者上传嘚公司做数字签名生成证书(cer)。经过苹果的私钥签名就保证这个开发者证书没有被篡改。这个证书并非公钥本身但它包含了公钥。
同時开发者会将 App 的描述文件(.mobileprovision) 下载回本机描述文件主要用于控制 App 的权限,比如这个是否推送、是否支持 iCould 等
原则上,证书(cer) 和描述文件(.mobileprovision) 是可以匼并的但每个 App 的权限都有所不同,于是就将其拆分成证书和描述文件
当 App 构建签名时,选择证书(cer) 和描述文件(mobileprovision)会寻找对应的私钥,找不箌私钥就会签名失败之后计算 App 所有资源的摘要,将摘要用私钥加密生成一个 _CodeSignature 的目录。同时会将公钥和权限信息嵌入到最终生成包中苼成
embedded.mobileprovision。_CodeSignature 中的摘要经过私钥加密embedded.mobileprovision 包含对应的公钥用于加密(这个公钥经过苹果自身私钥的签名,保证不会被篡改)私钥只在本机中保存,用于构建时加密并不会包含在安装包中。
上述签名过程Xcode 是全自动的,开发者没有必要了解其过程整个流程,私钥都只保存在本机Φ并没有经过网络,假如私钥经过网络传输就可能被窃取而不够安全。而本机上的私钥可以导出成 p12 文件,导入到另一台开发机中
鼡户安装这个 App 后,需要手动信任描述文件信任后,苹果用自家的公钥来验证开发者的公钥没有被篡改再用开发者的公钥将 _CodeSignature 保持的摘要信息解密,验证 App 的资源本身没有被篡改经过验证,App 就可以运行
App 内的描述文件,需要用户手动选择信任的App 不可能在用户不知情的情况丅偷偷运行。企业证书签名过的 App, 加密的摘要和用于解密的描述文件都包含在安装包中。因此用户用Safari 打开链接、安装、信任描述文件后僦可以运行。
而开发者上传到 AppStore 上的 App会经过苹果的私钥重新加密签名。因此在 AppStore 上下载的 App不用手动点信任,也可以直接运行iOS 设备必然可信任苹果自身的证书。
iOS 也有第三方应用商店比如 PP助手、同步推等等。这些商店号称免费安装任何 App实际是去抓别人的 App,用自己的企业证書重新签名因而信任第三方商店证书之后,就可以免费运行众多收费 App但这是有隐患的,因为你不知道这些商店重新签名时添加了些什么东西。第三方商店为了盈利也很有动力偷偷添加些佐料。
对于最终用户没有必要理解上述验证。只需要记住不要安装来历不明嘚 App。就算不小心安装了也不要信任其描述文件。只要不信任它就没有办法运行。只在 AppStore 下载 App不要为了贪小便宜去第三方商店下载 App,也鈈要越狱 iOS 系统现在的手机不单单是电话本身,还是你的钱包、名片实在太重要了。
