我正在使用有效的开发人员 ID 配置文件签署.dmg包含 a的文件。.app一切都已签名,包括框架。当我运行时codesign -dvvv,会出现正确的证书并且satisfies its Designated Requirement. 应用程序运行良好。
但是,当我上传和下载 时.dmg,签名“消失”。当我跑的时候codesign -dvvv,它说code object is not signed at all。GateKeeper 自然拒绝运行应用程序。
注意:这听起来很像这个问题,但我肯定用正确的开发者 ID 证书签名,并且.dmg不会出现“损坏”。
[注:情况在 OS X v10.11.5 和 v10.12 中发生了显着变化;此答案已更新以反映这一点。]
通常,您真正需要签名的是磁盘映像中的文件(主要是应用程序),而不是映像本身。下载图像后,将在使用时检查各个项目上的签名。从 OS X 10.11.5 开始,对磁盘映像的签名得到了适当的支持,有时甚至需要,但这是对其中的相关项目进行签名的补充。
通过 OS X v10.11.4,您可以对磁盘映像本身进行签名(使用codesign -s "Developer ID Application: [your company]" example.dmg),但是此创建的签名以附加到映像文件的扩展属性的形式存储。实际上,它创建了三个 xattr,分别命名为com.apple.cs.CodeDirectory、com.apple.cs.CodeRequirements和com.apple.cs.CodeSignature。要意识到的关键是这些属性是文件系统元数据——也就是说,它们附加到文件中,而不是文件内容的一部分。HTTP 协议对文件系统元数据的支持非常有限,因此当您通过 HTTP(或 FTP 或...)上传或下载时,它只会传输文件的内容,而 xattrs 会丢失。
您可以使用命令查看 xattrs ls -l@(使用命令更详细xattr):
$ ls -l@ example.dmg
-rw-r--r--@ 1 gordon staff 338590 Nov 13 2013 example.dmg
com.apple.cs.CodeDirectory 120
com.apple.cs.CodeRequirements 172
com.apple.cs.CodeSignature 8515
com.apple.diskimages.fsck 20
com.apple.diskimages.recentcksum 81
下载后,图像将丢失这些属性(并且可能从下载过程中获得com.apple.quarantine)com.apple.metadata:kMDItemWhereFroms,因此不会被视为已签名。另一方面,其中包含的文件仍应正确签名(因为它们的签名是图像文件内容的一部分。)
从 OS X v10.11.5 开始,codesign支持将签名嵌入到磁盘映像本身中,这样它就可以通过 HTTP 下载。从 v10.12 开始,Gatekeeper 将对未签名磁盘映像中的应用程序实施额外限制,这将阻止应用程序从磁盘映像加载其他内容(主要是动态库),除非它们包含在应用程序本身中。如果您不知道这是否与您的应用程序相关,请继续对磁盘映像进行签名(实际上,无论如何这是个好主意),但请确保codesign在 10.11.5 或更高版本下运行,否则签名将不在有用的格式!