我也一直在尝试解决这个问题。直到我尝试了http://devnet.jetbrains.com/thread/311971上的建议，才发现可行。感谢ashish agrawal！

通过GUI登录您的构建用户并打开Keychain Access。选择您的签名私钥，右键单击，选择“获取信息”，切换到访问控制选项卡，并选择“允许所有应用程序访问此项目”。

好的，我猜今天我得回答自己的问题了，因为在两天半里试过很多次后，我尝试的其中一种方法似乎起作用了。现在我就打算离开它，希望它能继续工作。

基本上，看起来这归结于 -d system 实际上没有起作用。因此，这里其他问题的很多答案可能需要更新以反映这一点。

security -v list-keychains -s "$KEYCHAIN" "$HOME/Library/Keychains/login.keychain"
security list-keychains # so we can verify that it was added if it fails again
security -v unlock-keychain -p "$KEYCHAIN_PASSWORD" "$KEYCHAIN"
codesign --sign "$SIGNER_IDENTITY" --force --signature-size 9600 \
         --resource-rules src/AppResourceRules.plist --timestamp --verbose \
         "$APP"

使用安全性为/usr/bin/codesign创建钥匙串

导入证书并使其与codesign程序化地工作并不是使用登录或系统钥匙串或向某个codesign之神祈求的问题。您只需要设置正确的权限即可。我建议专门为codesign目的创建一个新的钥匙串。

现在，要想使codesign不产生errSecInternalComponent错误，您需要获取分区列表（ACL）的正确设置。我将逐步介绍如何实现：

创建钥匙串

security create-keychain -p "${KEYCHAIN_PASSWORD}" "${KEYCHAIN_NAME}"

此时钥匙串已经解锁，但是不会出现在 钥匙串访问 中。

将新的钥匙串添加到搜索列表中

security list-keychains -s "${KEYCHAIN_NAME}" "${OLD_KEYCHAIN_NAMES[@]}"

将新的Keychain添加到列表中。如果你不首先从list-keychains中获取原始列表，那么在搜索列表中就不再有login.keychain了。

解锁钥匙串

security unlock-keychain -p "${KEYCHAIN_PASSWORD}" "${KEYCHAIN_NAME}"

如果您已经创建了Keychain，则此操作是多余的。但是，如果Keychain已经存在，则有必要进行此操作。

从Keychain中删除默认值

security set-keychain-settings "${TESTING_KEYCHAIN}"

如果不指定任何参数，这将把自动锁定超时设置为无限并在睡眠时取消自动锁定。

从.p12文件导入您的签名证书

security import "${DIST_CER}" -P "${CERTIFICATE_PASSWORD}" -k "${KEYCHAIN_NAME}" -T /usr/bin/codesign

导入证书并通过-T选项授予codesign访问权限。

设置钥匙串上的ACL

security set-key-partition-list -S apple-tool:,apple: -s -k "${KEYCHAIN_PASSWORD}" "${KEYCHAIN_NAME}"

许多人都会忽略这个要求。你可以使用dump-keychain查看macOS的操作方式。在签名代码时，需要使用apple：和apple-tool:。 -s表示签名证书。

我的签名证书在哪里？

确保自己能够找到证书是个好主意。

security find-identity -p codesigning -v /path/to/keychain

Gitlab-Runner、Jenkins等

对于任何CI类型的runner或构建系统而言，确保从launchd正确启动进程非常重要。请确保您的plist文件包含<SessionCreate></true>。

如果没有将钥匙串的所有者与构建过程正确匹配，并确保创建了安全会话，将导致各种问题。从诊断的角度来看，您可以引入list-keychains并查看输出是否符合您的期望。

这是来自launchd.plist手册页的内容：

SessionCreate <boolean>

此键指定作业应生成到新的安全审计会话中，而不是默认会话，因为它属于该上下文的。有关详细信息，请参见auditon（2）。

UserName <string>

此可选键指定要运行作业的用户。此键仅适用于加载到特权系统域中的服务。

GroupName <string>

此可选键指定要运行作业的组。此键仅适用于加载到特权系统域中的服务。如果设置了UserName而未设置GroupName，则该组将设置为用户的主要组。

示例 /Library/LaunchDaemons/com.company.gitlab-runner.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>Label</key>
    <string>com.company.gitlab-runner</string>
    <key>SessionCreate</key><true/>
    <key>KeepAlive</key><true/>
    <key>Disabled</key><false/>
    <key>UserName</key>
    <string>bob</string>
    <key>GroupName</key>
    <string>staff</string>
    <key>ProgramArguments</key>
    <array>
      <string>/usr/local/opt/gitlab-runner/bin/gitlab-runner</string>
      <string>run</string>
      <string>--working-directory</string>
      <string>/Users/bob/gitlab-runner</string>
      <string>--config</string>
      <string>/Users/bob/gitlab-runner/config.toml</string>
      <string>--service</string>
      <string>gitlab-runner</string>
      <string>--syslog</string>
    </array>
    <key>EnvironmentVariables</key>
      <dict>
        <key>PATH</key>
        <string>/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin</string>
    </dict>
  </dict>
</plist>

注册Runner

gitlab-runner register \
  --non-interactive \
  --tls-ca-file "{{ gitlab_runner_dir }}/certs/git.company.com.crt" \
  --config "{{ gitlab_runner_dir }}/config.toml" \
  --builds-dir "{{ gitlab_runner_dir }}/builds" \
  --url "{{ gitlab_ci }}" \
  --registration-token "{{ gitlab_token }}" \
  --name "{{ computername }}" \
  --tag-list "{{ gitlab_runner_tags }}" \
  --output-limit 16384 \
  --executor shell \
  --shell bash

最终的代码签名

您可以使用find-identity查找签名证书的哈希值。

security find-identity -p codesigning -v

在开始签署Xcode之前，需要设置环境变量CODESIGN_ALLOCATE以使用Xcode附带的codesign_allocate而不是/usr/bin中的。

export CODESIGN_ALLOCATE="$( xcrun --find codesign_allocate )"

代码签名框架、dylib等

如果您是手动进行代码签名，请从frameworks和dylibs开始，并在它们全部签名后再签署.app。换句话说，您需要从下往上进行代码签名。

/usr/bin/codesign --verbose=4 -f -s "$SIGNER_HASH" "$SIGNABLE"

对应用程序包进行代码签名

在所有其他可签名内容都已签名后，对 .app 文件本身进行签名。理论上，您可以使用 --deep 一次性完成所有操作，但是，您仍需要确保您的应用程序具有授权和可能需要其他标志。

/usr/bin/codesign --verbose=4 -f -s "$SIGNER_HASH" "$SIGNABLE"

应用到所有项目的标志：

• --timestamp=none 禁用时间戳

应用签名步骤中的其他标志：

• --entitlements /path/to/entitlements.xcent 新的权限
• --preserve-metadata=entitlements 保留当前权限

新的代码签名要求 - DER编码的权限

苹果最近开始要求权限不仅以plist形式嵌入，还要以DER编码形式嵌入。如果您使用的是较旧的Mac/Xcode，则可能会遇到错误...

代码签名版本不再受支持

其他答案对我都没有用。

最终救了我是这篇文章

总结一下，这可能是由于默认超时时间为5分钟，在长时间构建后会触发此错误。

解决方法如下：

security set-keychain-settings -t 3600 -l ~/Library/Keychains/login.keychain

尝试将 security unlock-keychain 和 codesign 作为一行命令来调用。这对我很有帮助。像这样：

security unlock-keychain -p <password> /Users/<user>/Library/Keychains/login.keychain && codesign --force --verify --verbose --sign "<certificate id>" <app name>

将您的密钥放入系统钥匙串中

以下是可行的命令。使用-A可以防止Mac要求输入密码。导入到system.keychain不需要GUI。

sudo security import <cert.p12> -k "/Library/Keychains/System.keychain" -P <passphrase> -A

我的钥匙串被锁住了。它抵制了我想改变这个事实的尝试...

钥匙串访问 -> 钥匙串第一援助 -> 修复，就这样！

仅解锁钥匙串是不够的。您还需要将私钥访问权限设置为“允许所有应用程序访问此项”。要从命令行执行此操作，需要重新导入密钥。因此，按顺序操作：

如果登录钥匙串已锁定，请解锁它。但实际上它不应该被锁定，无论如何，以下是解锁方法：

security -v unlock-keychain -p "$KEYCHAIN_PASSWORD" "~/Library/Keychains/login.keychain"

如果因某种原因您的构建机器有登录钥匙串被锁定，而且您不想在脚本中暴露密码，那么您应该使用另一个钥匙串。您可以即时创建一个并在前面和后面的命令中使用它。要即时创建一个：

security create-keychain -p 'temporaryPassword' MyKeychain.keychain
security list-keychains -d user -s login.keychain MyKeychain.keychain

然后使用-A参数将您的证书和相关私钥导入到登录钥匙串中。请注意，您不需要为所有这些操作使用sudo...

security import <cert.p12> -k "~/Library/Keychains/login.keychain" -P <passphrase> -A