iOS开发会遇到以下三种形式的证书:

  • cer - 文件是二进制格式,只保存证书,不保存私钥。
  • p12 - 二进制格式,同时包含证书和私钥,一般有密码保护。
  • pem - 一般是文本格式,可保存证书,可保存私钥。

打开钥匙串访问的工具 - 我的证书,左侧带个小三角形△的,就是你持有对应私钥的证书,点开△可以显示它的私钥,如下图:

ios profile文件与私钥证书文件不匹配 ios证书私钥密码_iOS


如果要导出证书,一定要展开证书那一条显示出私钥并将两行都选中,导出的证书格式是p12。

证书包含了公钥和许多其他的附加信息,这些附加信息都是被某个认证机构(Certificate Authority 简称 CA)进行签名认证过的,认证这个证书中的信息是准确无误的。iOS开发的认证机构就是苹果的认证部门 Apple Worldwide Developer Relations CA。

命令行工具 security 能快速罗列出你系统中能对代码进行签名的证书(即你拥有私钥的证书)。

$ security find-identity -v -p codesigning

运行结果如下图所示:

ios profile文件与私钥证书文件不匹配 ios证书私钥密码_iOS_02


有了拥有公钥的证书还有私钥,我们就可以对组成应用的二进制文件进行签名,签名过程可以用命令行工具 codesign 完成。

一般我们都使用 Xcode 的 Product - Archive 或者 xcodebuildxcodebuildxcrun 是 Xcode 为开发者提供的一套构建打包的命令,但 Xcode 9 之后,xrun 工具被移除了)对应用进行打包,打包的过程就包含了代码签名,但我们还是可以了解下 codesign 的一些命令。

用证书*’'iPhone Developer: YUNJIA XIE (4RS79RN824)* 对应用 MyApp.iap 设置签名:

$ codesign -s 'iPhone Developer: YUNJIA XIE (4RS79RN824)' MyApp.iap

查看签名信息:

$ codesign -vv -d MyApp.iap

运行结果如下图所示:

ios profile文件与私钥证书文件不匹配 ios证书私钥密码_重签名_03


重签名的时候,这个工具就非常有用了,在设置签名的参数 -s 前面加上参数 -fcodesign 会用你选择的证书对应用文件进行重签名,这种操作常见于内测平台,使用企业证书进行重签名,可使得非测试设备都能安装上该安装包。运行结果如下图所示:

ios profile文件与私钥证书文件不匹配 ios证书私钥密码_重签名_04


验证签名是否完好,可用如下命令:

$ echo 'lol' >> MyApp.iap // 破坏签名
$ codesign --verify MyApp.iap // 校验签名

运行结果如下图所示:

ios profile文件与私钥证书文件不匹配 ios证书私钥密码_代码签名_05


更多关于代码签名的内容,可参考 ObjC 这篇文章 代码签名探析