Currently browsing: 签名指南

OTA 安装的核心概念与技术背景

Over-The-Air（OTA）安装是 Apple 生态中一种通过无线网络分发和安装 iOS 应用程序的机制，主要面向企业内部部署或测试场景，而非 App Store 公开渠道。该技术依赖于 IPA（iOS App Package）文件与特定的 XML 清单文件（Manifest.plist）结合，通过 HTTPS 服务器托管，实现用户在 Safari 浏览器中点击链接即可触发安装流程。

与 App Store 的自动签名和审核不同，iOS分发的OTA安装通常基于 Apple Developer Enterprise Program（企业开发者计划）颁发的证书。该证书允许组织在内部网络或公网分发未上架的应用，而无需逐台上架审核。核心约束在于：安装设备必须信任用于签名的 Provisioning Profile，且 UDID（Unique Device Identifier）需预先注册到 profile 中（Ad Hoc 分发）或使用企业证书的无 UDID 限制（In-House 分发）。

从架构层面看，OTA 安装涉及三个关键组件：

1. IPA 文件：包含编译后的二进制、资源和嵌入的 mobileprovision 文件，经过 codesign 工具使用指定证书重新签名。
2. Manifest.plist：一个 XML 格式的清单，描述 IPA 的 URL、 bundle identifier、版本号、标题以及图标 URL。该文件必须符合 Apple 定义的 schema，否则安装会失败。
3. itms-services 协议：安装链接采用 itms-services://?action=download-manifest&url=<manifest_url> 形式，Safari 解析后调用系统安装器。

企业证书与分发模式的区别

企业开发者计划提供的 In-House 证书是 OTA 分发的首选，因为它不限制设备 UDID 数量，适用于大规模内部部署。相比之下，标准 Developer Program 的 Ad Hoc 分发仅支持最多 100 台设备注册 UDID，适合小范围测试。

企业证书的签名流程如下：

• 使用 openssl 生成证书签名请求（CSR）。
• 在 Apple Developer Enterprise 门户上传 CSR，下载 .cer 文件。
• 通过 Keychain Access 导出 .p12 私钥文件。
• 使用 codesign 命令重新签名 IPA：

  codesign -f -s "iPhone Distribution: Your Company Name" --entitlements Entitlements.plist YourApp.ipa

需要注意的是，企业证书每年需续期，且 Apple 对滥用（如公开发布）有严格处罚，包括证书吊销。

Manifest.plist 的结构与生成

Manifest.plist 是 OTA 安装的“大脑”，其 XML 结构必须精确。以下是一个典型示例：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>items</key>
    <array>
        <dict>
            <key>assets</key>
            <array>
                <dict>
                    <key>kind</key>
                    <string>software-package</string>
                    <key>url</key>
                    <string>https://example.com/apps/YourApp.ipa</string>
                </dict>
                <dict>
                    <key>kind</key>
                    <string>display-image</string>
                    <key>url</key>
                    <string>https://example.com/icons/icon57.png</string>
                </dict>
                <dict>
                    <key>kind</key>
                    <string>full-size-image</string>
                    <key>url</key>
                    <string>https://example.com/icons/icon512.png</string>
                </dict>
            </array>
            <key>metadata</key>
            <dict>
                <key>bundle-identifier</key>
                <string>com.yourcompany.YourApp</string>
                <key>bundle-version</key>
                <string>1.0.0</string>
                <key>kind</key>
                <string>software</string>
                <key>title</key>
                <string>Your App Name</string>
            </dict>
        </dict>
    </array>
</dict>
</plist>

生成该文件可通过脚本自动化。例如，使用 Python 的 plistlib 模块：

import plistlib

manifest = {
    'items': [{
        'assets': [
            {'kind': 'software-package', 'url': 'https://example.com/apps/YourApp.ipa'},
            {'kind': 'display-image', 'url': 'https://example.com/icons/icon57.png'},
            {'kind': 'full-size-image', 'url': 'https://example.com/icons/icon512.png'}
        ],
        'metadata': {
            'bundle-identifier': 'com.yourcompany.YourApp',
            'bundle-version': '1.0.0',
            'kind': 'software',
            'title': 'Your App Name'
        }
    }]
}

with open('manifest.plist', 'wb') as f:
    plistlib.dump(manifest, f)

图标尺寸要求：57×57 像素（display-image）和 512×512 像素（full-size-image），否则安装界面将显示默认占位图。

服务器配置与 HTTPS 要求

OTA 分发强制要求 HTTPS，且证书必须由受信任 CA 签发。自签名证书会导致安装失败，错误提示为 “无法连接到服务器”。

推荐使用 Nginx 或 Apache 配置。Nginx 示例：

server {
    listen 443 ssl;
    server_name ota.example.com;

    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;

    location / {
        root /var/www/ota;
        add_header Content-Type application/octet-stream;
        add_header Content-Disposition attachment;
    }

    location ~ \.ipa$ {
        add_header Content-Type application/octet-stream;
    }

    location ~ \.plist$ {
        add_header Content-Type text/xml;
    }
}

此外，需为 IPA 和 plist 文件设置正确的 MIME 类型：

• .ipa → application/octet-stream
• .plist → text/xml 或 application/xml

安装流程的详细步骤

1. 用户访问网页：提供一个 HTML 页面，包含安装按钮：

   <a href="itms-services://?action=download-manifest&url=https://ota.example.com/manifest.plist">
       安装应用
   </a>

2. Safari 解析协议：iOS 系统识别 itms-services:// 并跳转至安装器。
3. 下载 Manifest：系统请求 manifest.plist，解析其中的 IPA URL 和元数据。
4. 下载 IPA：后台下载完整 IPA 文件（通常数十至数百 MB），显示进度条。
5. 验证签名与 Profile：安装器检查：

• 证书是否有效且未吊销。
• 嵌入的 mobileprovision 是否包含设备 UDID（Ad Hoc）或企业信任链（In-House）。
• bundle identifier 是否匹配。

2. 安装完成：应用图标出现在主屏幕，可正常启动。

常见故障与诊断方法

自动化构建与 CI/CD 集成

在企业环境中，手动签名与上传效率低下。推荐使用 Fastlane 的 sigh、gym 和 pem 工具链：

lane :enterprise_ota do
  sigh(development: false, force: true)  # 自动续期 profile
  gym(scheme: "YourApp", export_method: "enterprise")
  # 自定义动作：上传 IPA 和生成 manifest.plist 到服务器
  sh "scp YourApp.ipa user@server:/var/www/ota/apps/"
  sh "python3 generate_manifest.py"
end

Jenkins 或 GitLab CI 可触发该 lane，实现代码提交后自动构建、分发。

安全加固与合规考虑

OTA 分发虽便捷，但存在风险：

• 中间人攻击：强制使用 HSTS 和 TLS 1.3。
• 应用泄露：为 IPA 添加服务器端验证（如 token 校验），防止未授权下载。
• 合规性：企业必须签订 Apple Developer Enterprise Program 协议，确保应用仅限内部员工使用，禁止对外分发。

例如，可在 manifest URL 中嵌入一次性 token：

https://ota.example.com/manifest.plist?token=abc123

后端验证 token 有效性后动态返回 plist。

高级应用：MDM 联动与静默安装

对于已加入 MDM（如 Jamf、Intune）的设备，可通过 MDM API 推送 OTA 链接实现静默安装。MDM 发送的配置文件包含 <key>ManifestURL</key><string>https://...</string>，设备接收后自动下载并安装，无需用户交互。

此外，支持 VPP（Volume Purchase Program）分发的应用也可通过 OTA 机制结合 MDM 实现批量部署。

实际案例：金融行业内部交易系统

某大型银行开发了一套 iPad 专用的交易风控应用，需快速迭代并分发给全国 5000+ 名交易员。技术方案如下：

• 使用企业证书签名，嵌入 get-task-allow: false 以禁用调试。
• 服务器采用阿里云 OSS + CDN 加速 IPA 下载（平均 30MB/s）。
• 自定义 Web 门户集成 SSO 登录，生成带用户 ID 的 manifest URL。
• 通过 Jamf Pro 推送安装命令，实现 T+1 日全员更新。

部署后，安装成功率达 99.7%，显著优于以往 U 盘分发方式。

结语性技术展望

随着 iOS 18+ 对企业管理的强化，OTA 安装正逐步与 Declarative Device Management（DDM）融合，未来可能支持更细粒度的版本控制与回滚。企业 IT 团队应持续关注 Xcode 更新与 Apple 政策变化，确保分发链路的兼容性与安全性。