如何创建Apple包签名证书

Question

如何使用OpenSSL创建具有以下扩展密钥使用扩展的证书？

扩展密钥使用扩展，关键，具有包含开发人员ID安装程序包代码签名(1.2.840.113635.100.4.13)的目的

苹果的开发工具productsign要求签名证书符合证书颁发机构认证实践声明开发人员ID中描述的安装程序包签名证书配置文件(18页第14页)。

我想用我们自己的证书来签署我们的产品预览版，而不是那些由苹果公司颁发的证书。

Answer 1

一份我自己的复制粘贴文档。有关证书扩展的更多信息，请查看Apple 认证业务报表。

1. 创建具有以下内容的apple.conf：请求 distinguished_name = req_name distinguished_name= no 请求_名字 CN = my-test-installer 扩展 basicConstraints=critical，CA:false keyUsage=critical，digitalSignature digitalSignature 1.2.840.113635.100.6.1.14=critical，DER:0500
2. 生成密钥：openssl genrsa -out apple.key 2048
3. 创建自签名证书: openssl req -x509 -new -config apple.conf -nodes \ -key apple.key -extensions扩展-sha256 -out apple.crt
4. 将密钥和证书包装到PKCS#12：openssl pkcs12 -export -inkey apple.key -in apple.crt -out apple.p12中
5. 使用open apple.p12将其导入密钥链。选择“始终信任”。
6. 使用证书对安装程序进行签名：productbuild --sign "my-test-installer" ...

Answer 2

若要在OpenSSL颁发的证书中添加扩展名，必须使用包含扩展名值的“配置文件”。有关说明，请参见此页 (有关于Extended Key Usage扩展的部分)。然后，配置文件与openssl ca命令一起使用，并带有-config和-extensions命令行标志(参见文献资料)。