超级签名自动切换证书 聊聊iOS签名那些事儿

我接触iOS签名机制快六年了，从最早企业签名横行的时代，到超级签名兴起，再到现在超级签名自动切换证书的成熟方案，踩过的坑没有一百也有八十，身边不少做中小开发、做内测的朋友经常找我问签名的问题，今天就以我自己的经验，把iOS签名里核心的逻辑、坑点、稳定性都聊透。

先从最基础的设备签名逻辑说起，很多刚接触IPA签名的新手都会问，为什么我的IPA包不能直接装在iOS手机上？其实iOS从诞生开始就实行了闭源的签名校验机制，任何想要在iOS系统上运行的应用，必须拥有苹果官方信任的签名，系统才会允许安装启动。我们常说的IPA签名，就是把开发者打包好的IPA包，用苹果签发的合法证书重新签名，让系统认可这个应用的合法性。而超级签名用到的设备签名，核心逻辑基于苹果个人开发者账号的Ad Hoc分发权限：每个个人开发者账号一年交付99美元年费，可以获得最多100台测试设备的绑定权限，也就是说，只有把用户设备的UDID添加到这个账号的设备列表里，才能用这个账号的证书给IPA签名，让对应设备成功安装。早年超级签名都是手动操作UDID添加和重签名，效率很低，现在整个流程已经完全自动化，用户点击安装链接就能自动获取UDID、自动完成签名和安装，而我最近用得最多的超级签名自动切换证书，就是在自动化流程上加了一层健康检测机制：系统会实时检测每个证书和对应账号的可用状态，一旦某个账号被风控封了、或者100个设备名额用完了，会自动调度证书池里下一个可用的证书完成签名，掉签的存量应用也会自动补发签名，用户完全感知不到，不会出现掉签后打不开、需要重新安装的问题，这也是它最大的优势。

接下来聊聊证书分发原理，不同类型的证书对应不同的分发规则，我们常用的签名方式不外乎四种，分别对应不同的场景：第一种是AppStore上架分发，证书是苹果官方审核后签发，所有用户都可以安装，稳定性是最高的，但是审核规则非常严格，很多H5封装的工具类、资讯类应用，或者带有个性化功能的应用，很容易因为不符合审核规范被拒，上架周期长、过审难度大，很多中小开发者根本没法把应用放到AppStore，所以才会用到其他分发方式。第二种是企业In-House证书分发，也就是常说的企业签名，用的是299美元一年的企业开发者账号证书，原理是苹果给企业内部应用发布的权限，不限制设备数量，不用上架就能分发，早年非常火，但是近年来苹果对企业账号的风控越来越严格，只要企业证书签名的应用对外公开分发、或者被举报有违规内容，苹果会直接吊销证书，所有用这个证书签名的应用都会立刻掉签打不开，稳定性越来越差，现在很少有人用了。第三种是TF签名，也就是TestFlight签名，本质是利用苹果官方的内测分发通道，开发者把H5封装好的IPA上传到TestFlight，通过苹果审核后，用户通过邀请链接就能安装，它的签名是苹果官方签发，本身稳定性很好，不容易掉签，但是TF签名也有天生的限制：每个构建版本最多只能容纳10000个测试用户，超过名额就得重新上传新版本重新审核，而且测试有效期只有90天，到期也要重新发版，用户还需要额外安装TestFlight才能使用你的应用，很多用户反感这一点，体验比直接安装的超级签名差不少。第四种就是我们今天说的超级签名，用多个个人开发者账号的Ad Hoc证书拼出分发服务，不限总设备数量，直接点击链接安装，不用额外装APP，体验接近AppStore，是现在不上架应用的首选方案。

说到这里就不得不提大家最关心的Apple ID风控，这也是决定签名稳定性的核心因素，我早年刚做超级签名的时候就踩过大坑：2019年超级签名刚火，我想要自己搭一个签名服务给自己的应用用，就在淘宝花五十块钱买了50个Apple ID，商家说都是干净的全新白号，结果我把50个ID全部登录到同一台服务器同一个IP上，第一天没事，第三天苹果直接封了48个，剩下两个也在一周内被封，前后亏了小一万的服务器和推广费用，欲哭无泪。摸爬滚打这么多年我也摸清楚了苹果的风控逻辑，苹果现在对Apple ID的风控是多维度的：首先看注册和登录环境，同一IP批量注册、同一IP批量登录几十个ID，直接就会被标记为风险账号，用不了几天就会被封；其次看账号行为，一个ID短时间内频繁添加删除UDID、频繁更新描述文件，会被判定为账号滥用，触发风控封号；最后看签名内容，如果你的ID签名的应用是违规应用，被举报或者被苹果检测到，整个ID连带证书都会被封，没有任何申诉的余地。现在正规的签名商为了规避风控，都会用分散登录的方式，每个ID分配不同的动态IP，控制每个ID的UDID添加速度，不会一次性把100个名额用完，就是为了降低被风控的概率。

再说说大家问得最多的独享证书和共享证书的区别，我也做过很长时间的对比实测，两者的稳定性差得不是一点半点。共享证书就是很多个不同客户的不同应用，共用同一个证书池里的证书，因为成本低，所以售价非常便宜，很多新手会被低价吸引，但是共享证书最大的问题就是风险共担，你根本不知道同一个证书池里的其他客户签了什么应用，如果有一个客户签了违规应用被苹果检测到，整个证书池里的所有证书都会受到影响，轻则掉签，重则全池封号，所有用户的应用都打不开。我之前就在某二手平台找过一个低价超级签名，20块钱一千个下载量，比市场价低了好几倍，结果用了第三天就全掉了，联系商家已经找不到人，后来才知道他们用的是共享证书，池子里有盗版视频应用被举报，整个池的ID全封了。而独享证书就是整个证书池只放你自己的应用，或者签名商会把合规应用和违规应用分开，独享池里只放正规的合规应用，从根源上避免了被别人牵连的问题，哪怕有一两个ID被苹果风控误封，也不会影响整个池的稳定性，如果再配上超级签名自动切换证书机制，稳定性还能再上一个台阶。

为了测试不同渠道不同类型签名的稳定性，我三个月前拿同一个H5封装好的IPA工具包，同时在三个不同价位的渠道做了实测，结果差异非常明显：第一个渠道是99元一年无限下载的低价共享签名，没有自动切换证书，结果第一个星期就掉了三次，每次掉了我都要找商家补签，最快也要两三个小时才能好，慢的时候要等大半天，用户这边打不开应用，三天就流失了一百多个新用户，第二个月整个证书池全封，应用彻底打不开，商家也失联，这次实测以失败告终。第二个渠道是150元一千下载的中等价位共享签名，带自动切换证书，虽然掉了之后会自动切，但是因为共享池经常有证书被封，平均两个星期就要掉一次，每次切换虽然不用手动补，但是也会有一两个小时的中断期，还是会影响用户使用，稳定性还是达不到可用的标准。第三个渠道是300元一千下载的独享证书签名，带超级签名自动切换证书，价格看起来比前两个贵很多，但是实测三个月，只有一次因为苹果更新风控规则封了三个ID，系统不到一分钟就自动切换到了新的证书，我后台看了数据，没有一个用户反馈打不开应用，也没有用户需要重新安装，稳定性完全超出我的预期。

说到价格感受，我也算过一笔明白账，之前用低价签名，看起来省了几百块钱的签名费，但是每次掉签带来的用户流失、重新拉新的成本，至少是签名费的好几倍，我之前用低价签名的时候，用户七天留存率不到30%，每个月因为掉签流失的用户带来的收入损失就有几千块，反而比签名本身的费用贵多了。现在用贵一点的独享自动切换签名，用户七天留存率涨到了接近60%，用户稳定了，收入也稳定了，算下来每个活跃用户的获取成本反而更低。我也用过一段时间TF签名，TF签名一般一个版本收两三百，能用90天，最多一万个用户，算下来如果用户量超过一万，成本比超级签名还高，而且每次重新发版都要重新审核，用户还要重新接受邀请，步骤繁琐，体验比直接点击安装的超级签名差很多，所以对于暂时没法上架AppStore的应用来说，带自动切换证书的独享超级签名确实是目前最稳定、性价比最高的选择。

这么多年踩坑下来，最大的感受就是iOS签名行业鱼龙混杂，不要只看价格，稳定才是最核心的需求，对于我们做开发的来说，用户能稳定打开应用比什么都重要，超级签名自动切换证书加独享证书的组合，确实解决了过去超级签名容易掉、掉了影响用户体验的核心问题，是现在不上架IPA非常靠谱的方案。