iOS安全之ipa 包重签名的3种方法

重签名的意义：ipa 重签名最大的用处是，不必重新打包，和配置其它第三方获取 appkey 等操作，直接重签名之后依然可以拥有这些功能，更快的发布测试或者灰度版本。

方法一、终端命令：sigh resign

1. 明白两个东西：想要重签名的证书和描述文件

开发证书或者企业证书，即你想要重签名的证书、provision描述文件。我是个人账户。没交钱的那种。（Xcode中自动管理会生成证书和描述文件）。

注意⚠️：每一个重签版本都需重新申请一个 appid 和 provisoning profile,不然同appid的会覆盖。
mac电脑的开发环境配置

安装 homebrew,命令:
/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
安装 ruby，命令：brew install ruby更新 ruby 版本
安装 sigh，命令：sudo gem install sigh

如果出错那就换成gem install sigh安装过程是漫长的。（在安装 sigh 之前，你得检查 gem的镜像源，现在一般为https://gems.ruby-china.org）

准备好需要重签名的 ipa 包

自己的ipa 不用多说。编译一下在工程的Product 文件件下就有。也可以通过爱思助手下载具体教程：Mac 如何下载ipa

开始重签名

第一步，把我们要重签名的 ipa 包和我们下载下来安装的 embedded.mobileprovison放在同一文件夹目录下，同级
第二步，终端 cd 到这个 ipa 的文件夹目录下，执行sigh resign或者 fastlane sigh resign命令
第三步：这时候，sigh 会直接弹出下面这个指令要你输入:Signing Identity这个就是你的证书的十六进制串,输入之后回车，然后等待见证奇迹的时刻吧。
第四步：验证我们重签的 ipa 包的时刻到了

先安装重签名之前的 ipa 包，然后再安装我们重签名之后的 ipa 包，如果没有覆盖，出现了两个一模一样的 App，各自点开没闪退没打不开的情况下，说明我们签名成功了。

sigh resign关于重签名有时候失败或者无法安装的情况说明。

如果ipa 里面有除了系统之外的 framework或者dylib的话，也需要先签名，不然也会导致签名后安装失败！至于 sigh 里面大致执行的脚本代码如下：

for framework in "$FRAMEWORKS_DIR"/*
doif [[ "$framework" == *.framework || "$framework" == *.dylib ]]thenlog "Resigning '$framework'"# Must not qote KEYCHAIN_FLAG because it needs to be unwrapped and passed to codesign with spaces# shellcheck disable=SC2086/usr/bin/codesign ${VERBOSE} ${KEYCHAIN_FLAG} -f -s "$CERTIFICATE" "$framework"checkStatuselselog "Ignoring non-framework: $framework"fi
done

看得懂或者熟悉脚本的同学可以直接看脚本文件： resign.sh
位置：/Library/Ruby/Gems/2.3.0/gems/sigh-2.0.1/lib/assets/resign.sh
版本号是根据自己当前 sigh 插件的版本号决定的。

直接执行此脚本可以重签多 target 的 ipa：

./resign.sh YourApp.ipa "iPhone Distribution: YourCompanyOrDeveloperName" -p "bundel id"=<path_to_provisioning_profile_for_app>.mobileprovision -p "bundel id"=<path_to_provisioning_profile_for_watchkitextension>.mobileprovision -p "bundel id"=<path_to_provisioning_profile_for_watchkitapp>.mobileprovision -p "bundel id"=<path_to_provisioning_profile_for_todayextension>.mobileprovision resignedYourApp.ipa）

苹果的政策越来越收紧，这种方案的可行性的周期不确定。因为很多方案已经随着版本的更新，变得不可行了。从 iTunes 关闭了 ipa应该管理功能就知道了，对于包的安全性苹果越来越重视。另外，企业账号申请的难度越来越高，也有这种趋势。这种方法已经失败。

方法二、iResign 重签名方案

下载 iResign,下载完直接有个可执行的iResign.app,双击执行
参数路径跟图片上描述的很清楚，第一项是你要重签名的 ipa 的路径，第二项是我们重签名的配置描述文件的路径（不用改为 embedded 也可以），第四项，填写我们生成重签名用到的mobileprovison的 bundle identifier，勾选修改 ID，第五项是我们重签名用到的mobileprovison的证书
第三项很多教程说不用填，但是不填是无法自动生成的，会一直卡在entitlements generated这个步骤，无法生成。所以我们要自己生成entitlements.plist! 首先我们把要重签的 XXXX.ipa 解压后得到 Payload目录，然后终端 cd 到Payload目录下，执行以下命令:/usr/libexec/PlistBuddy -x -c "print :Entitlements " /dev/stdin <<< $(security cms -D -i XXXX.app/embedded.mobileprovision) > Entitlements.plist 其中 XXXX.app 是你要重签的 ipa的包名。生成的 entitlements.plist存放在Payload目录下，然后我们用文本编辑或者 Xcode打开 plist 文件，修改里面的<key>application-identifier</key><string>PREFIX.yourappBundleID</string>为第四项填写的 bundle id。到此，配置完成，点击重新签名！

噔噔噔！签名成功请看下图：

iResign 使用注意事项：第三个 plist 文件是必填的，修改ID 的 bunle id 要跟 plist 修改的对应。

方法三、iOS ipa重签名工具 - iOS App Signer

下载 iOS App Signer 源码，运行在 May Mac 上
第一项，填写我们需要重签名的 ipa 路径，第二项是我们要签名的证书，第三项选择我们配置的 provisoning profile（默认项Re-Sign Only 是无效的）,然后，点击star！

此方式会自动分析 provisoning profile描述文件中的东西，所以不用我们自己填写变更的bundle id

验证得到ipa 直接在爱思助手中的：我的应用->中一拖就可以了。

这个方式亲自试了，比较简单方便。

结论：

但是最后重签名之前的能正常打开，重签名之后的都是一而退。暂时不知道什么原因。

感谢：
ipa重签名最直接的教程