ios - 我的内核扩展是否为 Yosemite 正确签名？

Question

我正在尝试签署内核扩展文件“abc.kext”。我有一个启用了 kext 的证书并尝试使用以下方式签署我的“abc.kext”:

codesign --sign "Developer ID Application: MyCompany (XXXXXXXX)" -a "x86_64" abc.kext

为了验证签名是否成功，我运行:

codesign --verify -vvvv abc.kext 

输出是:

abc.kext: code object is not signed at all

同时运行:

spct -a -v --type install abc.kext 

输出是:

abc.kext:rejected
source: no usable signature

如果我运行:

kextutil -tn abc.kext

输出是:

abc.kext appears to be loadable (including linkage for on-disk libraries).

有人可以帮我找出我做错了什么吗？

Answer 1

您没有明确说明，但从您获得的输出来看，您似乎在尝试对多架构 kext 进行联合签名？如果是这样，请不要那样做!

命令 codesign --verify -vvvv abc.kext 适用于我构建并签名的 kext，不需要明确的架构。 kextutil -n 是任何不兼容性的一个很好的指标，包括代码签名，但它只适用于 OS X 的运行版本，所以你需要检查它与你计划支持的所有版本。

如果出于某种原因你需要创建一个基于现有通用二进制文件而不是源代码的 kext 签名版本，你将需要提取二进制文件的 64 位部分，从中创建一个 kext 包并签名那。然后，您的安装程序可以将这个签名的 64 位 kext 放在 /Library/Extensions 中，如果安装程序检测到它正在安装在包含 OS X 10.8 或更早版本的卷上，另外将现有的通用 kext 放在 /系统/库/扩展。 (此外，如果/当发生升级时，kext 不会突然停止工作或生成签名警告。)

要提取 64 位二进制文​​件，请使用:

lipo -thin x86_64 abc.kext/Contents/MacOS/abc -output ./abc-64.kext/Contents/MacOS/abc

其中 abc.kext 是原始通用 kext，而 abc-64.kext 是您将要签名的新 kext。您应该为已签名的 kext 提供相同的包标识符，但包版本号高于通用版本，即使它们在功能上是相同的。如果操作系统可以加载更高版本的版本。

不同 OS X 版本的 kext 要求概述:

签名的 kexts 只能在 OS X 10.8 和更新版本上加载，并且这些版本都附带 64 位内核。如果你想支持旧版本的 OS X，你需要为这些版本单独的 kext。 OS X 10.6 和 10.7 内核可以是 32 位或 64 位，因此如果您想支持这些版本，请使用未签名通用内核扩展。 64 位部分已签名的 kext可能加载到 32 位内核中，但绝对不会加载到 64 位 10.6/10.7 内核中。 10.5 和更早版本只有 32 位内核，当然它们同时存在 PowerPC 和 i386 变体(后者仅从 10.4 开始)。我不知道是否可以创建一个 3 架构的 kext，但我怀疑是的。只是不要签名。

仅在 10.9 及更新版本上需要签名，因此您可以灵活选择每个 kext 涵盖的版本。 (10.8 也将愉快地加载未签名的通用 kext 的 64 位部分)

顺便说一句，在构建 kexts 时，请使用与该构建的最旧 支持的 OS X 版本相对应的 OS X SDK。部署目标机制不适用于内核扩展。 (大部分)