苹果签名证书查询真伪 独立开发者踩过的签名坑

作为一个做了三年的独立iOS开发者，我大半的坑都栽在苹果签名这块。一开始做一款私人定制的本地相册整理工具，过了三次AppStore上架都被打回，一会说隐私收集不合规，一会说功能太简单不符合上架要求，索性放弃上架，走签名分发的路子，谁知道这一进去就是各种踩坑。 第一次找签名，图便宜，看到某二手交易平台上99块钱包一年企业签名，想都没想就拍了。对方很快给我发了P12证书和描述文件，我按照教程导入Xcode，给IPA签名，做好H5封装分发页面，发给群里两百多个内测用户，大家都装上了，那时候还觉得这钱花得值。结果才半个月，早上一醒，手机里几十条未读消息，全是说APP打开闪退，弹未受信任的企业开发者。我才知道，掉签了。 赶紧找商家补签，商家说今天掉签的多，排队等，一等就是一天，好不容易补上了，三天后又掉了。反复掉了五次，一半用户都走了，我最后找商家理论，商家直接把我拉黑了，那时候才反应过来，我连证书真伪都没查，人家给我个共享的吊销证书改改信息，我就拿着用了，不坑我坑谁。从那时候我才明白，苹果签名证书查询真伪是拿到证书第一件要做的事，根本不能省。 后来我慢慢摸清楚，P12证书的使用本身就有很多讲究。很多新手和我一开始一样，以为P12就是个随便的证书文件，拿到就能用，其实不是。P12是把开发者证书和对应的私钥打包在一起的文件，导出的时候必须勾选包含私钥，不然导进去也用不了。我第一次自己生成个人证书的时候，就是导出的时候没勾私钥，给朋友用，朋友导了半小时都提示证书无效，折腾了一整夜才发现问题出在哪。而且P12还要对应证书类型，开发证书只能用来调试，不能用来分发打包，Ad Hoc证书用来做UDID绑定分发，企业证书用来做企业签名，上架AppStore要用生产证书，错一个类型，打包出来的IPA要么装不上，要么上传不了App StoreConnect，我光踩这种基础的坑就踩了快一个月。 说到不同渠道的苹果签名，我给大家说下现在我接触到的真实价格，都是实打实自己买过用过的，没有虚的。首先是自己买个人开发者账号做UDID签名，苹果官方定价99美元一年，折合人民币大概七百多，最多绑定100台设备，适合一百人以内的小范围内测，算下来一年七百多，其实比找别人签还划算，而且是自己的证书，最稳定。然后是超级签名，现在市场价格基本是1块到3块钱一个设备一年，低于1块钱的基本都是坑，都是一个个人账号绑两三百台设备，超过苹果限制，很快就被封，我之前买过五毛一个的，半个月就全掉了，现在用的是1.2元一个设备的，服务商不超量绑定，稳了快一年没掉过。然后是企业签名，共享版就是很多APP共用一个证书，一般50到200块一个月，这种基本一周掉一次，不推荐，独立证书就是一个证书只给你一个APP用，价格大概300到1500一个月，看你的APP类型，普通工具类一般五六百，稳定的两三个月都不掉。然后是TF签名，也就是TestFlight签名，价格是200到800块一次，一次管90天，普通不违规的APP一般两三百就能搞定，那些说几十块包永久的，全是骗你的，TF本身官方就只有90天有效期，怎么可能永久。 讲完价格，再说说设备签名的原理，其实核心就是UDID绑定。UDID是每台iOS设备独一无二的识别码，苹果的开发者体系里，你要让你的APP能装到某台设备上，就必须把这台设备的UDID加到你开发者账号的设备列表里，然后生成对应的描述文件和证书，打包之后，安装的时候苹果服务器会验证你的设备UDID在不在允许列表里，在就能装，不在就装不了。不管是Ad Hoc签名还是超级签名，本质都是UDID绑定，超级签名只是做了自动化，用户点一下H5链接就能自动获取UDID，自动绑定，自动签名，不用用户手动把UDID发给你，省了很多事而已。我一开始做内测的时候，不懂，让用户自己连iTunes找UDID，一个个复制发给我，麻烦死，还经常遇到用户复制多了空格，输错UDID，装了半天装不上，后来自己学做了H5封装，加了自动获取UDID和自动去空格的功能，用户点一下就能把UDID自动发到我的后台，省了太多功夫，H5封装还能做下载引导，适配不同iOS版本的下载跳转，比直接发链接好用太多。 苹果的证书分发机制其实也就四种，我玩多了也就摸清楚了。第一种就是AppStore上架分发，这个是官方的，所有人都能下载，最稳定，但是审核太严，很多APP过不了，我那款工具试了三次都没上，也就放弃了。第二种就是Ad Hoc分发，也就是我们说的UDID绑定分发，用个人或者公司开发者账号，最多100台设备，适合小范围内测，自己的证书自己掌控，基本不会掉签，只要你不主动吊销证书，就一直能用。第三种就是企业签名，用苹果299美元一年的企业开发者账号，不需要绑定UDID，任何设备都能装，不需要过AppStore审核，但是苹果查的严，共享证书很容易被封掉签，独立证书就稳定很多。第四种就是TF签名，本质是苹果官方给开发者做内测的渠道，把IPA上传到TestFlight，用户通过TestFlight安装，这个是我用过除了上架AppStore之外最稳定的，只要你APP不违规，基本不会掉，到期了重新上传一次就行，我上次做的手冲咖啡记录工具的内测版，放TF三个多月，一点事都没有，用户更新也方便，直接在TestFlight里更就行。 说到掉签和补签，我真是一肚子苦水。去年刚起步的时候没钱，图便宜买了99一年的共享企业签名，掉签掉的我整个人都崩了，大半夜一点多，用户发消息说APP用不了，我爬起来开电脑找商家补签，商家半天不回，我那时候盯着电脑屏幕，真想把电脑从窗户扔出去。后来慢慢总结出来，什么样的签名稳定好用，一百台设备以内，自己买个个人开发者账号，自己签，最稳定，根本不会掉，一百到一千台内测，用TF签名，官方渠道，基本不会掉，价格也不贵，一千台以上的大范围分发，找正规服务商的独立企业签名，虽然贵点，但是稳定，掉了也能免费补，不会找不到人。 我现在拿到任何证书，第一件事就是做苹果签名证书查询真伪，流程我都熟了。拿到P12之后，先导入Mac的钥匙串访问，打开看证书详情，首先看颁发者是不是苹果官方的Apple Worldwide Developer Relations Certification Authority，如果不是，直接pass，肯定是假的。然后看有效期，是不是在有效期内，证书有没有被标记为未信任。然后我还会去苹果开发者平台查证书的序列号，看证书状态是不是已发布，如果显示已吊销，那就是废证书，直接退钱走人，再也不跟商家废话。很多无良商家就是把已经被吊销的证书改个信息，换个名字就卖给新手，你不查，用几天掉签哭都没地方哭。 IPA签名其实也有很多坑，我一开始用Xcode导出的IPA是未签名的，需要用对应的证书重新签，替换里面原来的签名信息。我一开始经常犯的错就是P12证书和描述文件不对应，证书是A账号的，描述文件是B账号的，签完之后IPA就是装不上，查半天才能发现问题，现在我签名之前都会核对一遍，证书和描述文件是不是同一个账号的，对应对了再签名，省了好多折腾的时间。 我还记得上次帮一个刚入行的朋友做签名，他找别人弄了个P12，说能便宜一半，结果我帮他查真伪，一查证书早在三个月前就被吊销了，怪不得他装十次都装不上，最后换了正规的证书，一次就装好。其实很多人觉得查证书真伪麻烦，省了这一步，最后花的钱更多，耽误的时间更多，我踩过这个坑，所以现在每次都不会省。 前阵子我刚把新版本的相册工具签好名，重新封装了H5分发页面，调整了获取UDID的逻辑，解决了iOS16版本下偶尔获取失败的问题，然后把链接发到内测群，大家陆续装好，给我反馈新功能的问题，我泡了一杯热咖啡，靠在椅子上逐条看反馈，偶尔回一两条用户的建议，再也不用像以前那样整天盯着手机，就怕用户弹消息说掉签了。风从阳台吹进来，带着楼下桂花树的香味，这种不用慌的感觉，真的挺好。