我研究iOS签名机制快八年了,从最早企业签名刚流入市场开始就折腾,帮中小开发者做签名分发,也帮创业团队做内测应用部署,踩过的坑比我经手的签名包还多,今天就结合P12企业签名常见问题,把我这些年总结的干货从头到尾理清楚,给想要做IPA分发的新手做个参考。
首先从最基础的设备签名逻辑说起,很多新手刚接触IPA签名,以为就是给包改个后缀就能安装,其实根本不是这么回事。苹果整个生态的核心安全逻辑就是:任何安装到iOS设备上的应用,必须经过苹果官方授权链的签名验证,系统才会允许启动,没有签名或者签名验证不通过的应用,要么安装失败,要么安装后点击就闪退,或者弹出“未受信任的开发者”提示。具体到设备签名的校验逻辑,其实就是苹果把每台设备的UDID、签名证书的公钥私钥、应用的Bundle ID做三层绑定匹配,你安装IPA的时候,系统会提取包内的签名信息,同步到苹果官方服务器做校验,整条信任链都对上了才会放行,只要有一环出问题,直接就用不了。我们常说的P12证书,其实就是把证书的公钥和私钥打包导出的文件,做IPA签名的时候,就是用P12里的私钥给应用的二进制文件、资源文件做哈希加密签名,再把对应的证书信息打包进IPA,完成整个签名流程。
接下来讲证书分发原理,现在主流的四种分发方式我挨个理:第一种就是大家最熟悉的AppStore分发,原理是开发者把签好名的IPA上传到AppStore,苹果审核通过后会用官方的根证书重新给应用签名,用户从AppStore下载的时候,直接就能通过苹果的校验,所以这种分发是最稳定,用户信任度最高的,但是缺点也很明显,审核规则极严,很多内测应用、企业内部工具、不符合规范的功能类应用根本上不了架,而且审核周期长,改个版本就要等好几天,赶项目进度的时候根本熬不起。第二种是TF签名,也就是TestFlight签名,本质是苹果官方提供的内测分发渠道,开发者把IPA上传到TestFlight之后,生成测试邀请链接,用户点开就能跳转到AppStore下载安装,同样是苹果官方背书,稳定性和AppStore差不多,只有一个限制,就是每个版本最多支持10000个测试设备,三个月左右版本会过期,需要重新上传,审核比AppStore宽松很多,大部分合规的内测应用都能过,现在很多H5封装的应用都选这种方式,毕竟H5封装大多是功能工具,很多上不了AppStore,TF就是最稳的选择。第三种就是我们说的企业P12签名,苹果给企业开发者账号发证书,原本的用途是让企业给内部员工分发内部办公应用,本身没有设备数量限制,所以被衍生出来做外部分发,成本比TF低,没有设备数量限制,适合用户量过万的应用分发。第四种就是个人自签,用个人开发者账号的证书签名,最多绑定100台设备,只适合小范围内测,一般开发者自己用用还行,做对外分发根本不够用。说到H5封装,这里多说一句,很多开发者做了H5应用,想要让用户能像原生App一样安装到桌面,就会把H5页面封装成IPA包,这个时候就必须做签名才能安装,我见过太多开发者贪便宜找低价签名,结果没几天掉签,用户全跑了,实在可惜。
讲完基础原理,再说说大家都关心的Apple ID风控,这是我踩过最大的坑,三年前我刚做大的时候,手里有五个企业开发者账号,为了多接单子,同一个P12证书签了上百个应用,结果不到一周,苹果风控系统直接触发,把五个账号全封了,所有签过的应用全掉签,几十个客户来找我索赔,赔了我小十万,那时候才真正搞懂苹果的风控逻辑。苹果现在的风控是AI驱动的,会多维度判断账号风险:短时间内签发太多证书、同一个P12签太多不同Bundle ID的应用、证书绑定的设备量增长太快、证书里有违规应用被用户举报,都会触发风控,一旦触发,直接吊销证书,严重的直接封号,账号里所有证书都废了。哪怕是做TF签名用的个人开发者账号,要是同一个ID频繁删改设备、上传太多违规应用,也会被风控封号,TF应用直接被下架。我现在做签名,所有账号都是全新注册,用不同的身份信息、不同的IP地址注册,每个账号的P12证书都控制签名的应用数量,就是为了规避风控,这么做下来,封号率不到百分之一,稳太多了。
接下来就是P12企业签名最常见的问题:独享证书和共享证书到底有什么区别,哪个好?我这么多年实测下来,两者的稳定性天差地别。共享证书就是一个P12证书,几十上百家签名服务商共用,一个证书签几百上千个应用,不管合不合规都往里放,所以成本极低,价格也就卖的特别便宜,一般十几块到三十块钱一个月就能签。而独享证书就是一个P12证书只给一个客户用,或者最多放几个客户的合规应用,不随便接违规单子,所以成本高,价格也更贵,一般一个月一百多到三百多不等。我去年专门做了一次长达半年的稳定性实测,同一个合规的IPA包,我分别放在共享证书、普通独享证书、单应用独享证书、TF签名四个渠道,记录掉签次数和安装成功率。结果出来差距特别大:共享证书那个应用,平均7天掉一次签,最夸张的一次签完第三天就掉了,半年下来掉了23次,用户安装成功率只有不到百分之六十,很多用户下载完要么安装失败,要么刚打开就闪退,体验差到极点。普通独享证书,一个证书放不超过10个合规应用,半年下来只掉了两次,还是那次苹果大规模清理企业证书被牵连的,补签之后五个多月没再掉,安装成功率达到了百分之九十八。单应用独享证书,一个证书只放我这一个测试应用,整整半年一次都没掉过,安装成功率百分之百,稳定得超出我的预期。TF签名那边,同样半年一次没掉,只是三个多月版本过期,重新上传了一次,用户更新一下就好,整体也非常稳定。
说一下我对不同渠道的价格感受,这么多年下来我最大的感悟就是一分钱一分货,贪便宜吃大亏。共享签名十几块钱一个月确实便宜,但是掉签掉的你怀疑人生,我之前碰到一个做本地生活工具的开发者,刚起步没钱,一开始用30块钱一个月的共享签名,花了几万块推广攒了八千多用户,结果证书被封,全掉签,用户找不到新的下载链接,一半多用户直接流失了,后来换了独享签名重新推广,前前后后花了十几万才把用户量拉回来,亏到姥姥家。独享企业签名一个月一百多到三百多,对于已经有盈利或者有推广预算的开发者来说,完全能承担,稳定就是流量,就是钱,我现在给客户做的大部分都是独享签名,只要应用合规,基本很少出问题,老客户复购率特别高。TF签名一般按版本收费,一个版本几百到一千多,能用三个月,算下来成本和独享签名差不多,而且是官方背书,不会有掉签风险,适合用户量不超过一万的内测应用,或者H5封装的工具类应用,我现在很多做H5封装的客户都选TF,用着都反馈很好。AppStore上架一年只要688的开发者年费,上架之后永久稳定,但是审核太难,大部分不符合要求的应用根本上不去,能上架的肯定优先上架,我一直都建议客户能上AppStore就尽量上,实在上不了再选其他方式。
这些年我也碰到过很多常见的问题,除了之前说的封号掉签,还有很多新手问我,为什么签完名安装不上?大多是导出P12的时候没有导出私钥,或者证书已经被吊销,还有的是Bundle ID不匹配,校验不通过就会闪退,之前有个客户自己找网上的免费签名工具签名,结果写错了Bundle ID,装上去就闪退,找我改完重新签名就好了。还有人问我为什么P12证书好好的突然掉签?大多是共享证书里有违规应用被苹果查到,整个证书被吊销,所有应用都跟着掉,用独享证书就很少出这种问题。还有很多人问我P12证书能不能自己存着?其实可以,但是一定要保管好,不能随便泄露,要是P12流出去被别人拿去签违规应用,你的证书也会被牵连,我就碰到过客户把自己的独享P12随便发给第三方,结果第三方拿去签了赌博应用,苹果一查,直接把证书吊销了,好好的应用掉了,损失只能自己承担。
这么多年玩下来我最深的感受就是,iOS签名这个行业,稳定才是硬道理,那些靠低价共享证书赚快钱的,根本做不长久,只有老老实实做合规的独享证书,控制风险,才能给客户稳定的体验,自己也能长久做下去。只要应用本身合规,选对了证书,其实签名真的没有那么多问题,掉签大多都是贪便宜选了共享证书或者不干净的证书导致的,选对渠道,就能省很多心,也能留住你的用户。