Сертификат для подписи кода, выпущенный не Apple: может ли он работать с привратником Mac OS 10.8?

Наша компания разрабатывает наше приложение как для Mac OS X, так и для Windows. У нас есть уже приобретенный сертификат подписи кода от стороннего поставщика, который мы используем для идентификации наших установщиков Windows. Мы распространяем как наши DMG, так и MSI через веб-сайт нашей компании.

Отношение руководство по подписанию кода для новой функции Gatekeeper в Mountain Lion, похоже, подразумевает, что стандартный сертификат, выпущенный не Apple, будет работать, хотя я мог бы неправильно интерпретировать, что означает сторонняя сторона в этом случае:

Примечание. Apple использует стандартную форму и формат сертификатов подписи кода. Поэтому, если у вашей компании уже есть стороннее удостоверение подписи, которое вы используете для подписи кода в других системах, вы можете использовать его с командой OS Xcodeign ...

Можно ли использовать этот сертификат стороннего производителя, и если да, то как его можно включить с помощью команды codeign в командной строке?


code-signing osx-gatekeeper osx-mountain-lion
person GNat    schedule 06.08.2012    source источник
comment
Такая же ситуация. Пытался использовать наши существующие сертификаты, подписание сработало, но Gatekeeper все еще блокирует запуск.   -  person sereda    schedule 13.08.2012
comment
То же, что и @sereda. Думаю, это как-то связано с настройкой файла plist.info. Я начал с этого, но этого недостаточно, чтобы пройти Gatekeeper: digicert.com/code-signing/mac-os-codesign-tool.htm Я сейчас читаю этот документ от Apple: developer.apple.com/library/mac/documentation/security/ Все еще работаю над проблемой, но надеюсь, что это поможет.   -  person SilentSteel    schedule 04.06.2014
comment
Обновление: нет, это не сработает.   -  person SilentSteel    schedule 16.06.2014

Ответы (3)


arrow_upward
20
arrow_downward

Невозможно поверить в это, но прямой ответ таков:

NO

Я просто потратил добрых три дня на преобразование сертификатов и поиск в Интернете, чтобы найти их:

http://successfulsoftware.net/2012/08/30/how-to-sign-your-mac-os-x-app-for-gatekeeper/ http://www.panic.com/blog/2012/02/about-gatekeeper/ http://arstechnica.com/apple/2012/02/developers-gatekeeper-a-беспокойство-но-всеещедает-power-users-control/

person Agent86    schedule 26.07.2013

arrow_upward
14
arrow_downward

Нет. Причина, по которой это не сработает: Чтобы пройти через GateKeeper, вам понадобится сертификат подписи кода, который подписан вашим идентификатором разработчика Apple. Это не то же самое, что обычный сертификат подписи кода, выданный вашей компании. Только Apple выдает идентификаторы разработчика Apple. (По крайней мере, на момент написания этой статьи.)

Это очень сбивает с толку, потому что:

  • Компания, у которой мы купили сертификат подписи кода, специально заявила, что он работает с MacOS. Но они имели в виду, что технически мы можем подписать код Apple. Но прохождение GateKeeper - другое дело. (Непонятный маркетинг, мягко говоря.)

  • В настоящее время существуют неясные документы Apple, в которых говорится о подписи кода сторонними сертификатами. Пример: https://developer.apple.com/library/mac/documentation/security/conceptual/CodeSigningGuide/Procedures/Procedures.html
    Однако, хотя вы можете подписать код, он не проходит GateKeeper! Опять же, это может относиться либо к использованию внутреннего корпоративного приложения, либо просто устарело.

person SilentSteel    schedule 16.06.2014

arrow_upward
7
arrow_downward

Гейткипер распознает только цифровые сертификаты Apple. Windows распознает только Comodo, Verisign и некоторые другие органы подписи. Поэтому вам нужно купить сертификат Comodo (или аналогичный) для Windows и платить 99 долларов в год за программу для разработчиков Apple, чтобы вы также могли получить сертификат Apple. Это, мягко говоря, раздражает.

person Andy Brice    schedule 28.06.2014