使用现有 CA 颁发的证书签署 OS X 应用程序并让 Gatekeeper 满意

Posted 2023-04-13

【中文标题】使用现有 CA 颁发的证书签署 OS X 应用程序并让 Gatekeeper 满意

【英文标题】：Using existing CA-issued cert to sign OS X application and keep Gatekeeper happy

【发布时间】：2012-05-15 00:10:13

【问题描述】：

我构建了一个 OSX 应用程序，它作为 DMG 在 Mac App Store 之外分发，我希望在 Gatekeeper 强制执行开始后继续保持这种状态。

从研究代码签名文档看来，推荐的方法是获取“开发者 ID”证书并使用该证书进行代码签名。但是，您必须是注册的 OSX 开发人员并每年向 Apple 支付 99 美元。我已经拥有来自公认 CA 的证书，我想将它与 codesign 一起使用。我找到了有关如何执行此操作的文档，但我无法确定 Gatekeeper 是否允许使用其他 CA 而非 Apple 颁发的证书对应用程序进行签名。

有人知道吗？

【参考方案1】：

Gatekeeper 仅识别使用 Developer ID 签名的应用，而不仅仅是任何签名。请参阅this，其中还解释了如何在 Lion 下测试 Gatekeeper 功能。

关键是，如果 Apple 拥有证书颁发机构，如果您的应用被证明是木马或其他东西，他们可以撤销证书。