在 Xcode 外部对 Mac 应用进行数字签名失败

我的两位：

>

APP_PATH="Any.app"
xattr -w com.apple.quarantine '0081;5a37dc6a;Google Chrome;F15F7E1C-F894-4B7D-91B4-E110D11C4858' "$APP_PATH"
xattr -l "$APP_PATH" # You should see the quarantine attribute here
open "$APP_PATH"

阿德拉格的问题和自我回答在帮助我克服同样的问题方面是无价的。然而，尽管他的食谱很好，但有些说法并不完全正确，所以我想补充几点。

• 没有必要用@executable_path语句替换二进制文件和动态库中的@rpath条目@只要嵌入二进制文件中的实际rpath条目不是绝对的，rpath语句就可以。您可以找到大量使用rpath的有效Qt应用程序包。你可以按照adlag说的做，但你可能是在为自己工作
• 有关如何使用otool-l$file|grep-A2 LC_RPATH和install_name_tool-delete_RPATH$path$file，请参见上面的jil评论，以检查和删除二进制文件和库中的嵌入路径。
• 看https://developer.apple.com/library/content/technotes/tn2206/_index.html#//apple_ref/doc/uid/DTS40007919-CH1-TNTAG207，以清楚地解释为什么GateKeeper抱怨二进制文件中的路径，以及如何在syslog中看到具体的抱怨
• 如果绝对路径有问题，应该首先尝试修复构建，而不是事后使用install_name_tool
• 如果您正在使用cmake，这可能会有所帮助：https://cmake.org/Wiki/CMake_RPATH_handling#Mac_OS_X_and_the_RPATH
• 不要在动态库文件上运行spctl-a-t exec-vv/path/to/binary。您将获得有关资源信封的错误。这是意料之中的，不是问题
• 根据我的经验，macdeployqt工作正常。我通过更改构建解决了这个问题，这样绝对路径就不会进入有问题的动态库文件（libquazip）。我仍然使用install_name_tool删除Qt安装的绝对路径。然后，我使用macdeployqt创建捆绑包，对捆绑包签名并创建DMG文件

很抱歉回答我自己的问题，但我看不到其他方法，因为编辑原始问题会导致意大利面条文本。

我终于解决了我的问题。首先是功劳:(1)我的另一个stackoverflow问题的答案非常有用，(2)我从苹果官方开发者那里得到了非常好的(付费)建议，通过提交所谓的技术支持事件(TSI)。

基于所有这些，我现在可以在这里给出一个非常简洁的配方，说明如何让你的Mac应用程序成功地被GateKeeper处理。在详细说明配方后，我将说明我最初的错误是什么。

目标：在Xcode之外开发了一个Mac应用程序，让GateKeeper发出警告“从互联网上下载......”有三个按钮，其中一个是“打开”。

失败:当网关守护设备发出警告时..身份不明的开发商..”或文本”..未经证实的开发商..”在这两种情况下，消息框都只有一个OK按钮。

让您的应用看门人就绪包括三个步骤:

< li >使您的应用程序独立，没有不可接受的外部依赖性。唯一可接受的外部依赖是系统库。所有其他依赖项应该已经复制到您的MyApp.app文件夹中。网关守护设备拒绝任何具有非系统外部依赖性的应用程序 < li >二进制文件不应位于MyApp.app文件夹中的非法位置。库放在MyApp/Contents/Frameworks中，可执行文件放在MyApp/Contents/MacOS中 < li > All中的所有二进制文件都应该经过数字签名。然后MyApp.app文件夹要签名。对于此次签署，苹果公司“开发者ID申请…”证书是必需的

我们的食谱是自动的。所有的工作都由一个脚本完成。对于Qt Creator，我们使用qmake脚本，通过< code>$$system命令访问系统外壳。当使用(Xcode)系统命令< code>codesign、< code>spctl或< code>check-signature时，我们假设您已经将stderr重定向到stdout，如问题答案中所述。否则，在运行这些实用程序时，您将无法捕捉系统响应。在下文中，我们不会明确显示这种重定向。

这是我们的食谱

A. 使应用独立：

1. （使用脚本）将所有需要的二进制文件复制到MyApp.folder
2. 运行（使用脚本）install_name_tool-change和install_name_tool-id使得应用内的所有依赖项都是相对类型@executable_path/.../MacOS...or@executable_path/... /Frameworks
3. （使用脚本）在MyApp.app文件夹内的所有二进制文件上运行otool-L并标记任何非法依赖项，例如“@rpath...”或绝对文件路径不是系统路径。请注意，otool-L不能保证找到所有依赖项。插件通常超出otool的范围。这就是为什么您需要下一次检查。
4. 在“MyApp.app/Contents/MacOS”位置启动终端。运行exportDYLD_PRINT_LIBRARIES=1。然后在同一个终端窗口内运行。 /MyApp。您的终端将充满超过一百个加载的库。再次检查此列表以查找禁止的库（库存在于您的计算机上，但不存在于您客户的计算机上）。
5. 吃布丁的证据。我们使用MacInCloud虚拟机并检查我们的应用程序是否在那里运行。替代解决方案可能是不是开发人员的亲戚的Mac。或者您也可以在自己的Mac上创建一个新用户（“测试”）并将应用程序复制到其下载（或桌面文件夹，或...）。在后一种情况下，您必须临时重命名IDE的根文件夹，否则用户“测试”将在那里找到丢失的二进制文件。

B 对应用进行签名

C 外部检查

将应用压缩到单个zip文件中。上传到您的云服务器之一

守门人在其一般守门人角色上保留一长串（通常有数百项）异常。如果您想测试GateKeeper，则您的应用程序不得在该列表中。与编辑此列表相比，更简单的技巧是在Mac上创建新用户。登录该用户并从Internet云服务器下载zip文件。Finder将自动解压缩它。点击它。如果GateKeeper告诉你它可以打开应用程序，但同时警告你它是从互联网下载的，那么是时候喝杯（白）啤酒了。

我的错误

我做了大量的安装和签名工作，但没有明确检查每个二进制文件的结果。之后，我会在许多二进制文件上使用< code>otool -L,但不是在所有文件上。我忽略了一个事实，从早期的Qt版本升级到Qt 5.5，二进制文件< code>libqminimal.dylib获得了一个额外的依赖项，即。:< code>QtDBus。我没有注意到，但是看门人注意到了。

Qt开发人员可能会想知道为什么我们不只是使用mac部署yqt在Mac上部署Qt应用程序。首先，我们不喜欢不使用记录不良的黑盒实用程序。在Internet论坛上，有相当多的人报告了mac部署yqt的问题。此外，在比较不同的Qt版本时，Qt库可以有不同的安装位置（由otol-L报告）。当我们有一个新的Qt版本时，我们的脚本将立即开始大喊禁止的依赖项。通过这种方式，我们获得有关新版本中发生了什么变化的信息。