IPA打包需要哪些代码签名设置？

IPA打包需要哪些代码签名设置？IPA打包的代码签名（Code Signing）是iOS应用分发与运行信任链的核心，确保Mach-O二进制、资源文件与元数据完整性。企业签名场景下，签名设置需覆盖证书选择、Entitlements配置、Provisioning Profile绑定与构建参数，2025年iOS 18+强化了Hardened Runtime与Library Validation，任何配置偏差均导致安装失败或运行时沙盒限制。以下按Xcode 16+项目结构系统拆解关键设置。

1. 代码签名身份（Code Signing Identity）

定义用于签名证书类型与来源。

设置路径	推荐值（企业签名）	说明
Build Settings → Code Signing Identity	iPhone Distribution: Your Company Name (TeamID)	必须使用企业分发证书（Enterprise Distribution Certificate），而非开发证书。Release配置固定此值，Debug可设iOS Developer。
Signing Certificate	Enterprise	Xcode自动管理时选择“Enterprise”模式，确保私钥存储于Keychain。

自动化脚本验证：

security find-identity -v -p codesigning
# 输出应包含：iPhone Distribution: Company (TEAMID) (Valid)

2. 配置文件（Provisioning Profile）

绑定证书、Bundle ID与设备范围。

设置路径	推荐值	说明
Build Settings → Provisioning Profile	EnterpriseApp.mobileprovision（企业级）	必须为“Enterprise In-House”类型，包含无限设备支持。自动管理签名时，Xcode从开发者门户下载。
Development Team	TEAMID（10位）	在General → Signing & Capabilities中设置，确保与证书匹配。

手动嵌入验证：

# 解压IPA后检查
security cms -D -i Payload/*.app/embedded.mobileprovision | grep -A1 "TeamIdentifier"

3. Entitlements 文件配置

定义应用权限与能力，企业签名需精确匹配内部需求。

核心Entitlements键（.entitlements文件）：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>application-identifier</key>
    <string>TEAMID.com.company.app</string>
    <key>com.apple.developer.team-identifier</key>
    <string>TEAMID</string>
    <key>get-task-allow</key>
    <false/> <!-- 企业分发必须为false -->
    <key>keychain-access-groups</key>
    <array>
        <string>TEAMID.*</string>
    </array>
    <!-- 按需添加 -->
    <key>com.apple.developer.networking.vpn.api</key>
    <array><string>allow-vpn</string></array>
    <key>com.apple.developer.in-app-payments</key>
    <array/>
</dict>
</plist>

关键点：

• get-task-allow: false：企业签名强制关闭调试附加，防止外部调试。
• 避免开发专属能力（如push-notification若未使用）。
• MDM集成需添加com.apple.developer.device-management。

4. 构建阶段设置（Build Phases）

确保签名覆盖所有嵌入框架与资源。

阶段	操作
Embed Frameworks	所有.framework需勾选“Code Sign on Copy”。
Embed App Extensions	扩展同样使用企业证书签名。
Copy Bundle Resources	资源文件不直接签名，但需包含在_CodeSignature/CodeResources中。

5. 高级运行时保护设置

2025年iOS 18.5强制执行以下选项：

设置路径	推荐值	说明
Enable Hardened Runtime	Yes	启用后阻止动态代码注入，所有第三方库需与主应用同Team ID签名。
Library Validation	Yes	防止加载未签名或不同Team ID的动态库。
Disable Library Validation	No（除非特殊需求）	企业内部可临时关闭，但增加安全风险。

6. 企业签名特定打包流程（Xcode Archive）

# 1. 清理构建
xcodebuild clean -scheme EnterpriseApp -configuration Release

# 2. 归档
xcodebuild archive \
  -scheme EnterpriseApp \
  -configuration Release \
  -archivePath build/EnterpriseApp.xcarchive \
  CODE_SIGN_IDENTITY="iPhone Distribution: Company (TEAMID)" \
  PROVISIONING_PROFILE="enterprise-profile-uuid"

# 3. 导出IPA
xcodebuild -exportArchive \
  -archivePath build/EnterpriseApp.xcarchive \
  -exportOptionsPlist ExportOptions.plist \
  -exportPath build/

ExportOptions.plist（企业分发）：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>method</key>
    <string>enterprise</string>
    <key>teamID</key>
    <string>TEAMID</string>
    <key>compileBitcode</key>
    <false/>
    <key>thinning</key>
    <string><none></string>
</dict>
</plist>

7. 验证与故障排查清单

步骤	命令	预期输出
证书有效性	codesign -dv Payload/*.app	Identifier=com.company.app, TeamIdentifier=TEAMID
签名完整性	codesign -v --strict Payload/*.app	satisfies its Designated Requirement
Entitlements	codesign -d --entitlements :- Payload/*.app	包含get-task-allow=false
资源哈希	cat Payload/*.app/_CodeSignature/CodeResources	包含所有资源路径

常见错误：

• Code signing is invalid → 证书与Profile Team ID不匹配。
• Application is not signed with a valid provisioning profile → Profile未包含Bundle ID。
• Library not loaded → 动态库未使用企业证书签名。

8. 自动化CI/CD集成（GitHub Actions示例）

- name: Code Sign IPA
  run: |
    security unlock-keychain -p "${{ secrets.KEYCHAIN_PASS }}" login.keychain
    xcodebuild -scheme EnterpriseApp \
      -configuration Release \
      CODE_SIGN_IDENTITY="iPhone Distribution: Company (TEAMID)" \
      PROVISIONING_PROFILE_SPECIFIER="Enterprise Profile Name" \
      archive -archivePath build/app.xcarchive
    xcodebuild -exportArchive \
      -archivePath build/app.xcarchive \
      -exportOptionsPlist ExportOptions.plist \
      -exportPath build/

通过上述设置，企业签名IPA可确保在MDM部署、设备监督与运行时验证中实现零信任链断裂，支持无限内部分发的同时维持Apple最新安全标准。