P12签名签名证书根证书信任的深度使用分享

我接触苹果签名已经快六年了，最早帮创业团队做iOS内测应用，从手动重签踩坑到现在见过了各种签名技术的迭代，对这一块的门道摸得门清，今天就以我自己多年的使用经验，给大家分享一下苹果签名的核心技术和真实使用体验。

其实iOS系统本身有一套严格的应用安装校验机制，所有能正常安装打开的应用，都必须经过苹果认可的签名，未经过合法签名的IPA包，iOS系统会直接阻止安装，或者安装后提示无法验证开发者。而我们常说的P12签名证书，其实就是开发者从苹果开发者中心导出的、包含了公钥和私钥的签名文件，而根证书信任就是iOS系统（或者我们签名用的Mac钥匙串）确认这个根证书是由苹果官方授信颁发给合法开发者的，只有配置好根证书信任，这个P12证书签名出来的IPA才会被系统认可。我最早自己手动签名的时候，就是因为不知道要手动设置根证书信任，折腾了整整一个晚上，装了十几次IPA都提示无法验证，后来才发现是钥匙串里根证书默认设置了不被信任，改成始终信任之后立刻就好了，这一点真的是新手最容易踩的坑。

最早的苹果签名都是单证书模式，一个应用绑定一个开发者证书，一旦这个证书被苹果封禁，应用直接掉签，只能等服务商重新申请证书再重签，短则几小时长则好几天，非常耽误事。后来行业里就出了证书池机制，说白了就是服务商提前把大量不同开发者账号生成的有效P12证书整合到一个资源池里，动态维护更新，每天都会清理被苹果封禁的无效证书，补充新申请的有效证书。当某一个应用绑定的证书被封掉签之后，系统会自动从证书池里挑选一个可用的有效证书，自动给应用重新签名，整个过程全自动，不需要用户手动操作，大部分情况下十几分钟就能完成补签，用户只需要重新安装一次应用就能正常使用了。我现在合作的正规平台，证书池里有上千个个人开发者证书和上百个企业开发者证书，分共享池和独享池，我自己做外包项目一般用独享池，大半年才遇到一次掉签，补签也很快，对业务几乎没影响。当然我也遇到过证书池维护不到位的小服务商，掉签之后一天都补不好，耽误了客户的线下推广活动，从那之后我就只认大平台的证书池机制，贵一点但省心。

UDID是每一台iOS设备独有的识别码，相当于设备的身份证，苹果开发者计划里，不管是个人账号还是企业账号，对于可安装测试应用的设备都有绑定规则，比如个人开发者账号最多只能绑定100台测试设备，只有绑定了UDID的设备，才能安装对应账号签名的应用。我们常用的超级签名，本质就是基于UDID绑定机制实现的，当用户点击下载链接的时候，平台会自动获取用户设备的UDID，然后把这个UDID添加到还有剩余绑定名额的个人开发者账号的设备列表里，再用对应账号的P12证书给IPA签名，这样用户的设备就能正常安装打开应用了。很多客户找我做H5封装，都是把自己的H5业务页面打包成IPA包，之后做签名分发，小范围测试的话用超级签名刚好，几十上百台设备绑定，成本不高还稳定。我刚接触超级签名的时候，还要用户手动复制UDID粘贴到链接里，现在技术迭代之后都是自动获取，用户点一下下载就能完成绑定安装，体验非常好。

不管是开发自己手动重签，还是平台自动重签，核心流程都是差不多的。第一步是拿到未签名的原始IPA包，一般H5封装出来的初始包都是未签名的，或者原来的签名失效了需要重签；第二步是获取对应可用的P12证书和描述文件，把P12证书安装到签名环境里，配置好根证书信任，这一步是核心，没有配置信任签名肯定无效；第三步是去除IPA包原有的签名信息，也就是常说的脱签名；第四步就是用新的P12证书和描述文件，给IPA包重新做签名校验；最后一步就是重新打包成可安装的IPA包，上传到分发平台生成下载链接。现在正规平台都是全自动化的，用户只要上传IPA包，几秒钟就能完成重签生成链接，非常方便，我自己只有开发调试的时候才会手动重签，一般项目都是直接用平台自动化签名，省了很多事。我之前帮客户做一个内部管理APP，H5封装成IPA之后，上传到平台半分钟就出了下载链接，发给几十个员工直接安装就能用，全程没出问题。

我用了这么多年，其实大部分时候正规渠道的签名都是稳定的，只有小部分情况会遇到掉签问题，很多人说签名不稳，其实都是选了不对的渠道或者不对的签名类型。先给大家报一下现在市面上的真实价格，不同渠道差得非常多：首先说大家常问的超级签名，正规渠道一般都是按绑定的设备数量收费，单个UDID的价格大概在1.5元到3元之间，掉签之后免费补签，如果是包年的话，100台设备大概200元到500元一年，1000台设备大概1500元到3000元一年，比按单个设备买划算很多。而那种报价几毛钱一个UDID，或者一千台设备只要几百块的，基本都是用的黑号，也就是盗来的开发者账号，用不了几天就会被苹果批量封禁，全掉签，我之前贪便宜踩过这个坑，客户一百多台设备用了三天全掉了，服务商直接失联，最后我自己赔了客户的损失，从那之后再也不敢找这种低价渠道了。

然后是企业签名，企业签名分三类，价格和稳定性差得很多：第一类是共享企业签名，就是很多个应用共用一个企业证书，价格非常便宜，一个月只要50元到150元，但是这种稳定性极差，我之前用的时候一周掉了三次签，补都补不过来，因为只要其中一个应用违规被举报，整个证书都会被封，所有用这个证书签名的应用都会掉签，非常坑；第二类是独立企业签名，就是一个证书只放几个应用，不随便接新应用，价格大概一个月300元到600元，这种稳定性就好很多了，一般一个月最多掉一次，大部分时候都稳；第三类是独享企业签名，就是一个证书只给你一个应用用，别人用不了，价格大概一个月1000元到4000元，这种稳定性非常高，我有一个客户用独享企业签名做线下门店应用，五个多月才掉了一次，还是因为应用更新的时候触发了苹果的检测，补签十几分钟就好了。

对比超级签名和企业签名的稳定性：从原理上来说，超级签名因为是绑定UDID，每个个人账号只带100台设备，分散在多个账号里，就算一个账号被封，也只会影响100个用户，不会全掉，而正规服务商的证书池里有大量账号，补签也很快，所以只要是正规的超级签名，稳定度其实比共享企业签名好很多，适合100台以内的小范围内测。而企业签名，只要不是共享的，独享企业签名的稳定度其实和超级签名差不多，适合几百台到上千台的中等规模使用，成本比超级签名低很多。我这么多年用下来，80%的时间里正规渠道的签名都是稳定运行的，掉签只是小概率事件，不可完全避免，但是只要补签及时，对业务几乎没有影响。我也遇到过其他证书问题，除了之前说的黑号、根证书信任问题，还有一次就是小服务商没有更新证书池，证书早就过期了还拿来给用户签名，装完之后直接打不开，后来换了大平台就解决了。

除了超级签名和企业签名，现在还有TF签名和官方上架，我也给大家说一下：官方上架就是把应用上架到App Store，这个是最稳定的，只要审核通过，永远不会掉签，所有用户都可以直接下载，价格一般找代办的话，几百元到几千元不等，过审才收钱，但是官方审核非常严，很多内测应用、定制应用、不符合App Store规则的应用都过不了审，所以才会用第三方签名。而TF签名就是TestFlight签名，本质是苹果官方提供的内测分发渠道，稳定性比超级签名和企业签名都高，几乎不会掉签，价格一般按安装量算，一个安装2元到5元，包周期的话，小规模一个月300元到800元，大规模一个月1500元到3000元，只要能过TF的审核，基本不用操心掉签的问题，我有一个客户的应用在TF挂了两年了，都没出过问题，非常稳，就是每个应用最多只能有10000个测试员，适合不能上架官方商店的中等规模应用。而不管是H5封装出来的IPA，还是开发好的原生IPA，都需要做IPA签名才能分发安装，整个流程现在已经非常成熟了。

这么多年接触苹果签名，我最大的感受就是，一分钱一分货，不要贪便宜找低价小渠道，只要找正规的有成熟证书池机制的服务商，80%以上的时间都是稳定好用的，掉签补签也都及时，不会耽误事，新手一定要记住P12签名之后一定要配置根证书信任，别卡在最基础的地方，根据自己的用户量选合适的签名方式，小量用超级，中量用独享企业，大量能上TF就上TF，不能上就走企业，能上架官方商店当然最好，这样就能满足大部分内测或者分发的需求了。