我已经查看了现有的问题,但没有一个解决了我的问题(比如重新创建证书)。我构建了一个应用程序,在应用程序中有几个可执行文件、文件夹和框架。每当我尝试执行codesign -s "our identity" my.app时,总是提示找不到身份。可以有人提供一步一步的过程吗?
codesign -s "Developer ID Application: Sai***** (123123123J)" out/Release/Sai.app
错误
开发者ID应用程序:Sai******(123123123J):未找到身份信息,
我尝试删除“Developer ID Application”和序列号,但仍出现相同的错误
在这些行中寻求帮助
我也遇到过这个问题。请确认您的代码签名身份是否在钥匙串中,并考虑使用SHA-1指纹而不是名称后面的-s。
您可以通过打开Keychain Access并选择您的Developer ID Application: FOO证书,然后选择“获取信息”来查找SHA-1指纹。从这里,向下滚动信息直到您看到“指纹”。这里的SHA-1指纹可以复制,但您必须删除所有空格,之后您将获得一个40个字符的标识符,适合放置在codesign语句中的-s后面。
如果您仍然无法找到密钥,请尝试在终端中执行以下操作:
certtool y | grep Developer\ ID
搜索任何一个 Common Name 中带有 Developer ID Application 的内容,以验证证书是否实际上位于可从终端访问的钥匙串中。如果没有看到任何响应,则表示包含您凭据的钥匙串对您的 Terminal 会话不可用。原因可能包括锁定钥匙串,以其他用户身份运行shell,使用不同权限(例如 sudo )执行命令。
执行上述命令后,您应该至少具备以下内容:
Developer ID Application: <your company name>
Developer ID Installer: <your company name>
Developer ID Certification Authority
- 访问 Apple开发者网站
- 访问 Mac Dev Center
- 访问 证书、标识符和配置文件链接
- 从门户下载证书
- 双击证书,Keychain Access应该会打开
- 允许Keychain Access将证书添加到您的Keychain中。
如果Xcode没有安装“Developer ID Certification Authority”,则应该自行安装。您需要从Developer ID Authority下载或单击“证书”选项卡中的“+”链接并使用底部的链接下载证书。
同时,请确保您拥有“Apple Worldwide Developer Relations Certification Authority”,它是某些签名工具的基础。它应该安装在您的系统钥匙串中,由Xcode安装程序安装,并可直接从上面的+链接或Apple WWDR CA下载。
根据苹果公司的App Distribution Guide,适用于每个证书和密钥的特定钥匙串:
- 您的私钥和签名证书(Developer ID Installer,Developer ID Application和App Store Certificates)应该在登录钥匙串中。
- Apple Worldwide Developer Relations Certification Authority和Developer ID Certification Authority属于系统钥匙串。
- 您的开发人员证书也应该在您的登录钥匙串中。
钥匙串维护
因为Xcode自动操作钥匙串,并且因为某些证书会随着配置文件的更改而定期重新发行(虽然不适用于Developer ID,因为它具有多年期证书并且不需要配置文件),所以您可能会在钥匙串中遇到一些无关紧要和潜在混乱的证书。清理过期的证书是个好主意,因为它们可能会给Xcode带来一些混乱。
警告
- 在对您的钥匙串进行任何维护之前,请确保备份了您的钥匙串。
- 此过程旨在删除与开发相关的不必要证书,如果证书名称不以Mac Developer,3rd Party Mac Developer,iPhone Developer或Developer ID开头,请勿在此时删除它们。如果您意外删除了通过电子邮件获得的证书(例如),即使它已经过期,您也可能无法阅读接收到的电子邮件。
要做的事情:
- 退出Xcode
- 运
虽然我没有为苹果开发代码签名做过这件事,但我仍然认为我有一些宝贵的经验可以帮助您调试此类问题。不同之处在于,我自己创建了证书,而您是从苹果获得的。
检查证书的信任状态,它必须受信任以进行代码签名(在Yosemite上,这是证书视图中信任部分的倒数第三个)。请注意,对于您的代码签名,证书应该在登录钥匙串中,而我需要它在系统钥匙串中。
首先,证书在密钥串中未知用于代码签名,因为缺少扩展目的“代码签名”,如果您查看证书并双击它,就会发现这一点:
我解决了这个问题(您无法解决它,因为苹果向您提供证书。扩展名应该只存在):
然后,我将证书添加到受信任的签名证书中,此前我已经从钥匙串拖放证书到桌面,这创建了~/Desktop/gdb-cert.cer文件(请注意,您可以省略-d和-r trustRoot:
$ sudo security add-trusted-cert -d -r trustRoot -p codeSign -k /Library/Keychains/System.keychain ~/Desktop/gdb-cert.cer
$ security find-identity -p codesigning
Policy: Code Signing
Matching identities
1) E7419032D4..... "Mac Developer: FirstName LastName (K2Q869SWUE)" (CSSMERR_TP_CERT_EXPIRED)
2) ACD43B6... "gdb-cert"
2 identities found
Valid identities only
1) ACD43... "gdb-cert"
1 valid identities found
在我的情况下,苹果证书已过期,但我用于签署gdb的那个证书没有过期(嗯,我只是自己创建了它)。还要注意,“security add-trusted-cert” (-p codeSign) 和“security find-identity”命令(-p codesigning) 的策略名称不同。然后我继续签署gdb,但我总是得到以下提示:
$ codesign --sign gdb-cert.cer --keychain ~/Library/Keychains/login.keychain `which gdb`
gdb-cert.cer: no identity found
因为我曾经误认为在--sign选项中应该给出证书文件的文件名,但实际上应该是应该提供证书的CN并将其放在信任存储区中。在钥匙串中双击证书后,您可以在此处找到CN:
或者在“security find-identity -p codesigning”的输出中可以找到。然后,我继续签署文件,并且必须为其提供正确的钥匙串。在您的情况下,这必须是~/Library/Keychains/login.keychain,在我的情况下是System.keychain:
codesign -s gdb-cert --keychain /Library/Keychains/System.keychain `which gdb`
那样给了我一个可用的GDB,也应该能给你一个签名的应用程序。
答案最终非常简单。我的私钥丢失了。 因此,我撤销了证书,并按照开发者计划中的步骤进行操作(特别是在该过程中创建CSR证书,除非我撤销了证书,否则我不会获得该证书)。
由于 certtool y | grep "Developer ID Application: xxxx" 没有显示任何结果,我猜测这是访问所需钥匙串的问题。因此,我首先验证了私钥是否可以被钥匙串中的任何应用程序访问,然后开始在 certtool 命令中使用 k=/Users/myUser/Library/Keychains/login.keychain 选项,当这成功后,我使用同样的方法来执行以下操作:
codesign --keychain /Users/myUser/Library/Keychains/login.keychain --force --verbose -s "Developer ID Application: xxxx"
即使
certtool y | grep "Developer ID Application: xxxx"
无法显示任何结果,我猜测这是访问所需钥匙串的问题。因此,首先我验证了私钥是否可以被钥匙串中的任何应用程序访问,然后我开始在certtool命令中使用k=/Users/myUser/Library/Keychains/login.keychain选项,当这成功后,我也使用同样的方法进行操作。
codesign --keychain /Users/myUser/Library/Keychains/login.keychain --force --verbose -s "Developer ID Application: xxxx
codesign命令行以及任何参数和准确的错误消息。 - gaige