【起因】
根据苹果官方的说明,自 macOS 10.15 起,所有从互联网下载的未公证的 app,默认将无法被打开,因此,在 App Store 外分发的 app,也必须在发布前,将 app 上传到苹果的服务器进行公证。
使用 Xcode 自带 archive 工具可以很方便地进行公证,但公司的 app 是使用 python + pyqt5 开发的,没有办法使用 xcode 进行公证, 因此,我花时间,详细研究了一下 python 的打包工具 pyinstaller,以及 macOS 的认证命令, 最终完美解决了 python 程序的公证问题。
【工作环境】
下面介绍的公证方法,其工作环境要求如下:
macOS CLI ( xcode-select —install )Xcodepyinstaller (> 4.5)苹果开发者账号
公证的基本思路如下:
第一步:配置开发者证书,并对外部引用程序进行签名第二步:pyinstaller 打包程序, 并在打包过程中,对代码、外部引用库、外部引用文件进行签名第三步:转换 app 程序为 dmg 文件第四步:xcrun altool 上传 dmg 文件到苹果服务器,进行公证第五步:xcrun altool 查询公证状态第六步:xcrun stapler 证书盖章第七步:正式发布 dmg 程序
下面就详细介绍一下每一步是如何操作的:
【1. 证书及签名】配置开发者证书
第一步:打开 钥匙串访问
第二步:进入 钥匙串访问,在菜单中选择 ”证书助理“ -> "从证书颁发机构请求证书…"
第三步: 弹窗中填写申请信息
填写完成后,保存到本地,文件名为 CertificateSigningRequest.certSigningRequest
第四步:登录苹果开发者网站
(), 进入 Certificates, IDs & Profiles 页面,点击添加按钮,选择 Developer ID Application
上传刚才添加的 CertificateSigningRequest.certSigningRequest 文件
上传成功后点击下载,将证书保存到本地。
第五步:双击下载到本地的证书,添加到钥匙串,如下:
第六步:设置证书的访问权限
至此,苹果的开发者证书已安装完成
外部引用程序签名
codesign -s "Developer ID Application: XXXXX (4J45KSVBG8)" -v --deep --timestamp -o runtime 外部引用程序
其中 "Developer ID Application: XXXXX (4J45KSVBG8)" 就是钥匙串里 证书名称
验证签名
codesign -dvvv 外部引用程序
输出中,看到证书名称及签名成功
【2. pyinstaller 打包】打包代码
# 生成编译的 spec 文件pyi-makespec -Dw --add-data "../src/*:src" --key "" --osx-bundle-identifier "com.xxx.xxxxx" --codesign-identity "Developer ID Application: XXXXX (4J45KSVBG8)" --osx-entitlements-file entitlements.plist -i “icon.icns" -n “MyAPP" ../main.py# compiler source codepyinstaller --clean -y MyAPP.spec
注意:上面命令中,一定要使用 --osx-bundle-identifier 来指定 app 的 bundle-id, 和 --codesign-identity 来指定开发者账号,如果不指定的话,app 的外部引用的库将无法进行签名, 公证时将报下列错误。
【3. 打包层 dmg】
./dmg-create \--volname “XXXX" \--volicon “xxxx.icns" \--background “xxxx.png" \--window-pos 200 120 \--window-size 569 400 \--icon-size 80 \--icon MyAPP.app 150 150 \--hide-extension MyAPP.app \--app-drop-link 430 150 \MyApplication.dmg \./dist
【4. 公证】
公证
# 存储 App 专用密码xcrun altool --store-password-in-keychain-item "AC_PASSWORD" -u "your-username" -p "your-password"# 上传 dmg 到苹果服务器公证xcrun altool --notarize-app -t osx -f MyApplication.dmg --primary-bundle-id com.xxx.xxxxx -u your-username --password "@keychain:AC_PASSWORD"
注意:上面的 password, 是 App 专用密码, 因此,需要创建一个App 专用密码, 创建的方法如下:
登录苹果 appleid 网站 ()
创建成功后,一定记下生成的 App 专用密码,方便后面使用。如果没有记下的话,再次点击”生成密码…”, 会生成新的密码。
【5 查询公证结果】
尽管官方说在一小时内,但一般很快,几分钟公证就会完成。完成后,下列命令查询公证结果
# 检查处理结果xcrun altool --notarization-info "7ad-c807-4899-be59-eaa3b4" -u your-username --password "@keychain:AC_PASSWORD"
如果公证成功,会发邮件给你。如果公证失败的话,上述命令会返回日志 URL,通过访问日志 URL ,可以了解不通过的原因。
注: 7ad-c807-4899-be59-eaa3b4,这个是公证时返回的 ID, 这个ID 每次公证都是不同
【6. 文件盖章】
在上面的公证步骤中,Apple 已经创建了一张“票证”,也是一个数据库记录,它与应用程序的签名相匹配,表示应用程序已经公证完成。当 MacOS 运行此应用程序时,MacOS 会联系 Apple 服务器并索要“票证”。如果存在这样的票证,则该应用程序被视为“合法”的。这个过程在程序的生命周期中,只会发生一次,MacOS 会把“票证”缓存,为之后应用程序使用。
如果想加速这个初始应用程序的执行,或者希望能够在离线时运行应用程序,我们需要将这张“票证”装订到应用程序中,下载票证并将其附加到应用程序中方法如下:
# 给文件盖章xcrun stapler staple MyApplication.dmg【7. APP 分发】
在最后分发前,我们最后确认一下应用程序是否被公证
检验签名公证
# 查询公证spctl --verbose=4 --assess --type execute MyApplication.dmg输入如下:MyApplication.dmg: acceptedsource=Notarized Developer IDorigin=Developer ID Application: YourName (XXX)
此命令直接使用 Gatekeeper 来评估应用程序是否正确签名和公证。如果显示 accepted 的,证明公证已完成。
至此,就可以把 APP 分发给所有用户了。(完)
标签: 公证
②文章观点仅代表原作者本人不代表本站立场,并不完全代表本站赞同其观点和对其真实性负责。
③文章版权归原作者所有,部分转载文章仅为传播更多信息、受益服务用户之目的,如信息标记有误,请联系站长修正。
④本站一律禁止以任何方式发布或转载任何违法违规的相关信息,如发现本站上有涉嫌侵权/违规及任何不妥的内容,请第一时间反馈。发送邮件到 88667178@qq.com,经核实立即修正或删除。