关于 iOS 证书，你必须了解的知识

收录待用，修改转载已取得腾讯云授权

---

最新腾讯云技术公开课直播，提问腾讯W3C代表，如何从小白成为技术专家？点击了解活动详情。

作者 |陈泽滨
编辑 | 顾乡

从事iOS开发几年，越来越发现，我们的开发者往往聚焦在程序的开发，如何实现一个功能，如何写好一行代码。但对iOS应用开发到发布过程中必不可少的一环，证书签名相关部分，却只是一知半解。真正过程中遇到问题：如真机调试、团队开发证书环境同步，产品发布上架，才胡乱折腾一通，最终解决问题的时候其实对证书的构成与机理还是一无所知，不知所以然。

本文从iOS证书体系的基本构成模块 (Certificates, Identifiers, Device, ProvisioningProfile) 入手，一步步解释各模块的内容与注意项；同时文末简单补充了iOS证书日常管理经验项。力求为大家答疑解惑，补上iOS应用开发中不可或缺却往往被人忽视的一个知识面。

1. 证书（Certificates）

代码签名可以让系统确保你的应用来源，并确保你的应用不被修改（执行代码修改后，原签名将失效）。

首先你要有一个证书，通过Keychain的证书助理生成Certificates Signing Request文件后，即可进一步得到最后的证书。完整的iOS证书包含公钥与私钥，也就是所谓的非对称加密方式。在这里，公钥用于验证，私钥用于签名。与此同时，仅包含公钥的证书文件（.cer）将会被放置在开发帐号下提供到开发团队人员下载共享使用。然而，我们知道仅包含公钥的证书是不具备签名能力，而私钥又保存在生成证书的机器Keychain内，所以当其他开发人员需要使用这份证书时候，我们需要将完整的公钥私钥导出生成个人信息交换文件（.p12），这样的证书环境才是完整可用的。

特别值得一提的是，我们日常遇到的revoke证书，也就是因为开发人员当下的开发环境没有包含可用的私钥，revoke相当于重新申请证书，暴力操作过后其他开发人员的旧证书（包含私钥）将不可用，需要revoke的开发人员将最新的证书信息同步出来。

证书分为开发（Developerment）与发布（Distribution）两类，各自用途顾名思义，这里不再累述。

2. Identifiers

注册一个AppID用于唯一标识一个App或一组App，这里的应用程序AppID和BundleID是相对应的。为了确保AppID的唯一性，它的命名必须严格按照规范：

1、App（主程序、插件）BundleID：

com.company.appname

com.company.appname.extensionname

2、AppGroupsID：

group.com.company.appname

3、Pass TypeID：

pass.com.company.appname

4、Website PushID：

web.com.company.appname

5、iCloud Containers ID：

cloud.com.company.appname

6、Merchant ID：

merchant.com.company.merchantname

每个AppID可以设置对应的服务开关（如APNs、Game Center、iCloud等等），生成同时按照实际需要对应配置即可。

3. 设备（Device）

这里的设备就是指的可调试的iOS设备，可以是iPhone、iPad、iPod、Apple Watch甚至是Apple TV。新增一个设备到帐号下可以进行设备调试，仅需要提供对应名称与UDID，但是，一个萝卜一个坑，一个帐号最多仅支持加入100个设备，即便你后续删除设备，用掉的名额也不会立刻恢复，直到来年开发者帐号的membership year开始时，才能选择删掉一些设备来恢复名额，或清空所有设备恢复到最多100个名额。

4. 描述配置文件（Provisioning Profile）

Provisioning Profile文件将上文提及的相关信息（Certificates、Identifiers、Device）都打包在内。Provision Profile本质上是一个plist文件，以development为例，它一般包含但并不只以下内容：

1、AppIDName

2、ApplicationIdentifierPrefix

3、CreationDate

4、DeveloperCertificates

5、Entitlements

6、ExpirationDate

7、ProvisionedDevice

8、UUID

系统根据配置文件提供的信息进行一一校验，从AppID到Entitenments，从数字证书到设备UDID等，最后运行应用程序到设备。如下所示：

此外，DistributionProvisioningProfile与Development Provisioning Profile类似，它没有Device配置信息。

5. iOS证书管理

开发团队的人员越多，合理的证书管理愈显重要。流程上，为保证日常开发应用程序的安全与效率，无论是大到公司的发布证书抑或是小到项目组的团队个人开发证书，我们都尽量做到：

1、帐号密码统一由一个关键接口人维护（证书管理员）；

2、开发人员统一到证书管理员领取.p12文件与Provision Profile文件进行应用开发或发布；

3、新增设备，提供设备名与UDID到证书管理员添加。证书管理员更新后，周知并同步新的ProvisioningProfile到团队开发人员。

补充提醒：

1、.p12文件与Provisioning Profile文件同步到svn，可高效并及时同步整个团队；

2、严格控制iOS调试设备的加入，确保随时有可用名额。

---

原文链接：https://www.qcloud.com/community/article/628343