【起因】
根据苹果官方的说明,自 macOS 10.15 起,所有从互联网下载的未公证的 app,默认将无法被打开,因此,在 App Store 外分发的 app,也必须在发布前,将 app 上传到苹果的服务器进行公证。
使用 Xcode 自带 archive 工具可以很方便地进行公证,但公司的 app 是使用 python + pyqt5 开发的,没有办法使用 xcode 进行公证, 因此,我花时间,详细研究了一下 python 的打包工具 pyinstaller,以及 macOS 的认证命令, 最终完美解决了 python 程序的公证问题。
【工作环境】
下面介绍的公证方法,其工作环境要求如下:
- macOS CLI ( xcode-select —install )
- Xcode
- pyinstaller (> 4.5)
- 苹果开发者账号
公证的基本思路如下:
- 第一步:配置开发者证书,并对外部引用程序进行签名
- 第二步:pyinstaller 打包程序, 并在打包过程中,对代码、外部引用库、外部引用文件进行签名
- 第三步:转换 app 程序为 dmg 文件
- 第四步:xcrun altool 上传 dmg 文件到苹果服务器,进行公证
- 第五步:xcrun altool 查询公证状态
- 第六步:xcrun stapler 证书盖章
- 第七步:正式发布 dmg 程序
下面就详细介绍一下每一步是如何操作的:
【1. 证书及签名】
- 配置开发者证书
第一步:打开 钥匙串访问
第二步:进入 钥匙串访问,在菜单中选择 ”证书助理“ -> "从证书颁发机构请求证书…"
第三步: 弹窗中填写申请信息
填写完成后,保存到本地,文件名为 CertificateSigningRequest.certSigningRequest
第四步:登录苹果开发者网站
(https://developer.apple.com/account/), 进入 Certificates, IDs & Profiles 页面,点击添加按钮,选择 Developer ID Application
上传刚才添加的 CertificateSigningRequest.certSigningRequest 文件
上传成功后点击下载,将证书保存到本地。
第五步:双击下载到本地的证书,添加到钥匙串,如下:
第六步:设置证书的访问权限
至此,苹果的开发者证书已安装完成
- 外部引用程序签名
codesign -s "Developer ID Application: XXXXX (4J45KSVBG8)" -v --deep --timestamp -o runtime 外部引用程序其中 "Developer ID Application: XXXXX (4J45KSVBG8)" 就是钥匙串里 证书名称
- 验证签名
codesign -dvvv 外部引用程序输出中,看到证书名称及签名成功
【2. pyinstaller 打包】
- 打包代码
# 生成编译的 spec 文件
pyi-makespec -Dw --add-data "../src/*:src" --key "1234567812345678" --osx-bundle-identifier "com.xxx.xxxxx" --codesign-identity "Developer ID Application: XXXXX (4J45KSVBG8)" --osx-entitlements-file entitlements.plist -i “icon.icns" -n “MyAPP" ../main.py
# compiler source code
pyinstaller --clean -y MyAPP.spec注意:上面命令中,一定要使用 --osx-bundle-identifier 来指定 app 的 bundle-id, 和 --codesign-identity 来指定开发者账号,如果不指定的话,app 的外部引用的库将无法进行签名, 公证时将报下列错误。
【3. 打包层 dmg】
./dmg-create \
--volname “XXXX" \
--volicon “xxxx.icns" \
--background “xxxx.png" \
--window-pos 200 120 \
--window-size 569 400 \
--icon-size 80 \
--icon MyAPP.app 150 150 \
--hide-extension MyAPP.app \
--app-drop-link 430 150 \
MyApplication.dmg \
./dist【4. 公证】
- 公证
# 存储 App 专用密码
xcrun altool --store-password-in-keychain-item "AC_PASSWORD" -u "your-username" -p "your-password"
# 上传 dmg 到苹果服务器公证
xcrun altool --notarize-app -t osx -f MyApplication.dmg --primary-bundle-id com.xxx.xxxxx -u your-username --password "@keychain:AC_PASSWORD"注意:上面的 password, 是 App 专用密码, 因此,需要创建一个App 专用密码, 创建的方法如下:
登录苹果 appleid 网站 (https://appleid.apple.com/account/)
创建成功后,一定记下生成的 App 专用密码,方便后面使用。如果没有记下的话,再次点击”生成密码…”, 会生成新的密码。
【5 查询公证结果】
尽管官方说在一小时内,但一般很快,几分钟公证就会完成。完成后,下列命令查询公证结果
# 检查处理结果
xcrun altool --notarization-info "7ad11612-c807-4899-be59-ea535317a3b4" -u your-username --password "@keychain:AC_PASSWORD"如果公证成功,会发邮件给你。如果公证失败的话,上述命令会返回日志 URL,通过访问日志 URL ,可以了解不通过的原因。
注: 7ad11612-c807-4899-be59-ea535317a3b4,这个是公证时返回的 ID, 这个ID 每次公证都是不同
【6. 文件盖章】
在上面的公证步骤中,Apple 已经创建了一张“票证”,也是一个数据库记录,它与应用程序的签名相匹配,表示应用程序已经公证完成。当 MacOS 运行此应用程序时,MacOS 会联系 Apple 服务器并索要“票证”。如果存在这样的票证,则该应用程序被视为“合法”的。这个过程在程序的生命周期中,只会发生一次,MacOS 会把“票证”缓存,为之后应用程序使用。
如果想加速这个初始应用程序的执行,或者希望能够在离线时运行应用程序,我们需要将这张“票证”装订到应用程序中,下载票证并将其附加到应用程序中方法如下:
# 给文件盖章
xcrun stapler staple MyApplication.dmg【7. APP 分发】
在最后分发前,我们最后确认一下应用程序是否被公证
- 检验签名公证
# 查询公证
spctl --verbose=4 --assess --type execute MyApplication.dmg
输入如下:
MyApplication.dmg: accepted
source=Notarized Developer ID
origin=Developer ID Application: YourName (XXX)此命令直接使用 Gatekeeper 来评估应用程序是否正确签名和公证。如果显示 accepted 的,证明公证已完成。
至此,就可以把 APP 分发给所有用户了。(完)
