如何手动签署和公证命令行工具

Apple要求所有分发的二进制文件都必须使用付费的Apple开发者帐户进行签名和公证。这可以使用命令行工具完成，例如使用PyInstaller创建的二进制文件或使用gcc编译的文件。

用于此过程的自动化Python脚本

下面链接的脚本允许您使用项目特定的.ini文件来自动执行此过程。

codesign.py

设置

如果您已经有一个配置了XCode中的Developer ID Application和Developer ID Installer证书的开发人员帐户，请跳过此步骤

• 创建一个Apple开发者帐户
  • https://developer.apple.com 并支付99美元以获取开发者帐户。小偷
• 从Apple App Store下载并安装X-Code
• 打开并运行X-Code应用程序并安装所需的任何其他内容
• 打开首选项窗格（cmd+,）并选择帐户
  • 点击左下角的+
  • 选择Apple ID
  • 输入您的Apple ID和密码
  • 之前创建的密钥可以从https://developer.apple.com下载并安装
• 选择要使用的开发者帐户
• 选择管理证书...
• 点击左下角的+，然后选择Developer ID Application
• 点击左下角的+，然后选择Developer ID Installer

为altool创建应用程序特定密码

来自Apple的说明

• 打开KeyChain Access
• 创建“新密码项目”
  • 钥匙链项名称：Developer-altool
  • 帐户名称：您的开发者帐户电子邮件
  • 密码：您刚创建的应用程序特定密码

使用Pyinstaller或其他工具创建可执行二进制文件

NB！可能需要添加额外的参数，例如--add-data来构建功能性二进制文件

• 创建单个文件二进制文件
  • pyinstaller --onefile myapp.py

签署可执行文件

• 将entitements.plist添加到目录中（见下文）
• 列出可用的密钥并找到Developer ID Application证书：
  • security find-identity -p basic -v

  1) ABC123 "Apple Development: aaronciuffonl@gmail.com ()"
  2) XYZ234 "Developer ID Installer: Aaron Ciuffo ()"
  3) QRS333 "Developer ID Application: Aaron Ciuffo ()"
  4) LMN343 "Developer ID Application: Aaron Ciuffo ()"
  5) ZPQ234 "Apple Development: aaron.ciuffo@gmail.com ()"
  6) ASD234 "Developer ID Application: Aaron Ciuffo ()"
  7) 01010A "Developer ID Application: Aaron Ciuffo ()"
     7 valid identities found
  

• codesign --deep --force --options=runtime --entitlements ./entitlements.plist --sign "HASH_OF_DEVELOPER_ID APPLICATION" --timestamp ./dist/foo.app

将应用程序打包为 pkg 文件以进行安装

• 创建一个临时目录以构建 pkg 文件结构：
  • mkdir /tmp/myapp
• 使用 ditto 命令构建 pkg 安装程序的结构：
  • ditto /path/to/myapp /tmp/myapp/path/to/install/location
    • 在目标设备上将应用程序“WhizBang”安装到 /Applications/ 中，请使用以下命令：ditto ~/src/whiz_bang/dist/whizBang /tmp/whiz_bang/Applications/
  • 对于所有需要打包的文件，重复以上步骤。
• 构建 pkg 文件：

• productbuild --identifier "com.your.pkgname.pkg" --sign "HASH_OF_INSTALLER_ID" --timestamp --root /tmp/myapp / myapp.pkg
• NB! --root 选项的格式如下：--root <ditto 路径> <目标系统上从中安装的相对路径> <签名的 .pkg 文件>

验证应用程序是否已经通过 Notarize 审核

• xcrun altool --notarize-app --primary-bundle-id "com.foobar.fooapp" --username="developer@foo.com" --password "@keychain:Developer-altool" --file ./myapp.pkg
• 检查您的电子邮件以确认审核是否成功。
  • 或者，使用以下命令检查状态：
    • xcrun altool --notarization-history 0 -u "developer@***" -p "@keychain:Developer-altool"
• 如果审核失败，请使用以下命令查看详细日志：

  xcrun altool --notarization-info "Your-Request-UUID" \
             --username "username@example.com" \                                    
             --password "@keychain:Developer-altool"   

将公证添加到pkg包中

• 将公证添加到pkg包中
  • xcrun stapler staple ghostscript64.pkg

有用的资源

• 为命令行实用程序做公证
  • 该博客详细介绍了以下内容：
    • 开发人员配置文件和证书
    • 一次性密码
    • 创建钥匙串条目以允许-p "@keychain:Key"开关正常工作
    • 签名和公证
    • 采样
• 在签名过程中添加entitlements.plist
  • 确保可以适当地访问嵌入式Python库
• 签署和公证在XCode之外编译的工具
  • 涵盖以下内容：
    • 签名
    • 打包
    • 公证
    • 采样

DMG分发

如果您想在DMG中分发您的二进制文件，除了在二进制文件上调用codesign之外，还必须正确创建DMG。

首先创建您的文件夹并清除任何垃圾，否则上传将失败。使用Aaron Ciuffo的帖子交换PKG命令。

mkdir DistributionFolder
xattr -cr ./DistributionFolder

然后将二进制文件移动到该文件夹中，并创建一个大小适当的DMG。

hdiutil create -fs HFS+ -volname MyApp -srcfolder ./DistributionFolder ./Distribution.dmg

弹出驱动器。签署DMG并上传。一旦公证，您可以像Aaron的答案中那样装订。