Мой DMG с кодовой подписью отклонен GateKeeper
Я пытаюсь распространить приложение (само с кодовой подписью) внутри тома DMG с кодовой подписью, подписанного сертификатом с собственной подписью кода (созданным с помощью Помощника по сертификатам цепочки для ключей).
Я работаю в macOS Mojave и создаю DMG, используя следующую процедуру:
- Создать новую пустую папку
testsrc - Скопируйте подписанный кодом пакет приложений в новую папку
Бежать
hdiutil create -volname test -srcfolder testsrc -ov -format UDBZ test.dmgКодовый знак DMG:
codesign -s keyid test.dmg
Это успешно (нет сообщения об ошибке, код возврата 0). Кроме того, пытаясь выполнить codesign снова приводит к сообщению "test.dmg: уже подписан". Я могу проверить подпись:
codesign -vvvv -d test.dmg
Executable=/path/to/test.dmg
Identifier=test
Format=disk image
CodeDirectory v=20100 size=291 flags=0x0(none) hashes=1+6 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha256=73…
Hash choices=sha256
Page size=none
CDHash=73… (same as above)
Signature size=1760
Authority=keyid
Signed Time=12 Dec 2018 at 18:26:31
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=96
Однако, когда я пытаюсь открыть помещенный в карантин (скачанный с локального хоста) DMG, я получаю обычное сообщение об ошибке Gatekeeper:
Более того, spctl -v -a -t open --context context:primary-signature test.dmg говорит мне: "test.dmg: отклонено".
Это происходит только потому, что мой сертификат самозаверяющий, а не сертификат приложения Apple Developer ID Application? Есть ли способ обойти это?
Я видел ответы в разделе Как добавить кодовое обозначение в файл dmg в Mac, но они предполагают, что вышеуказанная процедура должна работать.
1 ответ
Это происходит только потому, что мой сертификат самозаверяющий, а не сертификат приложения Apple Developer ID Application?
В двух словах: да.
После использования ключа из сертификата разработчика, подписанного Apple, ошибка исчезла, и теперь приложение проходит проверку Gatekeeper.