macOS 下 Electron 程序的签名及公证
自 macOS 10.14.5 开始,应用程序必须要经过签名以及公证(notarize),否则默认情况下便无法直接运行,会弹出类似下面的警告:
即:
“Appname.dmg” can’t be opened because Apple cannot check it for malicious software.
This software needs to be updated. Contact the developer for more information.
或者中文提示:
无法打开“Appname.app”,因为无法验证开发者。
macOS 无法验证此 App 不包含恶意软件。
要解决这个问题,就需要对 Electron 生成的程序进行签名和公证。官方的文档中有关于签名的说明,有多种方法,我使用的是 electron-builder
工具,重点参考了 Notarizing your Electron application 这篇文章,但因为时间及各个依赖库的变化,这些文档以及文章上的内容也有一些需要调整。下面是我踩了一些坑后的配置记录。
本文中的方法主要基于以下依赖版本:
"dotenv": "^8.2.0",
"electron": "^6.1.7",
"electron-builder": "^21.2.0",
"electron-notarize": "^0.2.1",
准备工作
首先,你需要一个有效的 Apple 开发者 账号,目前注册这个账号需要年费 $99。
有开发者账号,之后,需要在苹果官网的开发者后台 Certificates, Identifiers & Profiles 那儿申请若干证书以及要发布的 App 的 Identifiers 之类,这个和其他 App 的流程类似,此处不再赘述。下面假设你已经有了对应的证书以及应用 id。
electron-builder 配置
electron-builder 的配置中,mac 及 dmg 部分主要内容如下:
mac: {
...,
gatekeeperAssess: false,
identity: YOUR_IDENTITY,
hardenedRuntime: true,
entitlements: 'scripts/entitlements.mac.plist',
entitlementsInherit: 'scripts/entitlements.mac.plist'
},
dmg: {
...,
sign: false
},
其中 YOUR_IDENTITY
为你的证书的标识。比如你在 KeyChain 中看到你的证书名称类似“Developer ID Application: XXXXX (YYYYY)”,如下图:
那个 XXXXXX
就是 YOUR_IDENTITY
。
另外,entitlements.mac.plist 文件的内容为:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.security.cs.allow-unsigned-executable-memory</key>
<true/>
</dict>
</plist>
到这儿,签名部分的配置就基本完成了。
公证(notarize)
这儿使用 Electron-notarize 对 Electron 程序进行公证。
首先要在你项目的 package.json
中最顶层添加以下配置:
"build": {
"afterSign": "scripts/notarize.js"
}
此 notarize.js 文件的内容类似:
require('dotenv').config()
const {notarize} = require('electron-notarize')
exports.default = async function notarizing (context) {
const appName = context.packager.appInfo.productFilename
const {electronPlatformName, appOutDir} = context
if (electronPlatformName !== 'darwin') {
return
}
let appPath = `${appOutDir}/${appName}.app`
let {appleId, appBundleId, ascProvider} = process.env
let appleIdPassword = `@keychain:Application Loader: ${appleId}`
return await notarize({
appBundleId,
appPath,
ascProvider,
appleId,
appleIdPassword
})
}
注意其中有一些变量是从环境变量 process.env
中获取的。你可以使用传统的方式设置环境变量,也可以在当前工作目录下添加一个 .env 文件,其中以 key=value
的形式写入环境变量,一行一对 key/value 值。
几个变量的说明如下:
appleId
你的 Apple 开发者账号,即登录 https://developer.apple.com/ 的账号,通常是一个 Email 地址。
appleIdPassword
你的 Apple 开发者账号密码。出于安全考虑,建议不要直接将密码写在 .env 文件或环境变量中,这儿 有一些安全建议,比如使用专用密码等。
我这儿用的是 @keychain:Application Loader: ${appleId}
这样的形式,你可以先在 Application Loader 等程序中用你的开发者账号登录一次,并让 Keychain 记住你的密码。由于现在最新版 Xcode 中已经不包含 Application Loader 了,你也可以在系统的 Keychain 中手动添加密码项。
ascProvider
此项是选填的,如果你的开发者账号与多个团队关联,运行时可能会遇到以下错误:
Your Apple ID account is attached to other iTunes providers. You will need to specify which provider you intend to submit content to by using the -itc_provider command. Please contact us if you have questions or need help.
此时,就需要指定此项参数,它的值就是你在开发者后台看到的 Team ID
的值。
完成
到此,配置基本就完成了,此时正常运行 electron-builder 的命令,即可在打包完成之后继续进行签名、公证工作。需要注意的是公证部分需要将程序压缩包传到 Apple 服务器,需要保证网络畅通。
如果一切顺利,一会儿之后你会收到 Apple 给你发的提醒邮件:
此时,表明你的 Electron 程序已经签名及公证成功了。
评论: