IOs 代码签名说明

Question

据我所知，有 4 种可能的方法可以在 IO 上分发应用程序:

1. 发展
2. 特别的
3. 企业
4. 应用商店

我了解分发的开发方式。您需要向 Apple 提交证书申请，Apple 会为您颁发证书。然后您使用此证书签署您的应用程序。

但是，目前尚不清楚 Ad Hoc、Enterprise 和 App Store 证书的工作原理。特别是:

• Ad Hoc 可以安装在多种设备上，但是，您可以不需要在配置文件中指定设备。你需要提交特殊请求以获得 Ad Hoc 证书，以及如何设备级别的执法是否有效？
• 同样，据我了解，企业证书可用于
  在不同的设备上安装应用程序(您不需要在进步)。看来Enterprise和App Store很像
  证书，即我看不出它们之间的区别。怎么样证书的安全检查是否适用于企业？

我的直觉是 Apple 作为证书颁发机构工作，但使用不同的根证书对所有这些类型的证书进行签名，即开发人员请求使用开发人员 Apple 根证书进行签名，而企业使用企业 Apple 根证书进行签名。然后，在设备上安装期间，检查根证书的类型并执行相应的决定。我说得对吗？

Answer 1

答案在于配置文件，而不是证书或其权限。

没有 Ad Hoc 证书这样的东西。只有分发证书和开发证书。对于企业帐户也是如此，其证书完全相同(除了来源类型的帐户)。所以Ad Hoc、App Store和Enterprise都是分发证书。您的所有证书均由同一机构签署:Apple 全局开发者关系证书颁发机构，因此它们不能有不同的根 CA。

不同之处在于配置文件本身，它们只是由 Apple 签名的 plist。 iDevices 信任 WWDR 证书链的某些部分(根 CA？)，如果签名通过验证，则会解释配置文件并决定是否可以安装或运行给定的应用程序。

配置文件说明谁可以在哪些设备上运行什么。它们由 Apple 签名，因此设备可以验证它们所说的内容。

我可以看到的配置文件类型之间的区别是:

企业简介有

<key>ProvisionsAllDevices</key>
<true/>

临时有

<key>ProvisionedDevices</key>
<array>
  UDIDs! You do, in fact, need to specify them for Ad Hoc!
</array>

而且 App Store 配置文件似乎没有特殊的配置信息。事实上，我不确定它们是否真的安装在设备上。

security cms -D -i your.mobileprovision 命令对于探索配置文件很有用。