生成OpenSSL证书,Provisioning Profile

最后更新于:2022-04-01 20:00:55

这是一篇来自[raywenderlich](http://www.raywenderlich.com)的教程,内容翔实!结构简单透彻、讲解循序渐进、文章质量上乘!是一篇难的的博文!使用半瓶的英语水平翻译了一下: 1.【iOS push全方位解析】(一) [push的概述](http://blog.csdn.net/hherima/article/details/45583787) 2.【iOS push全方位解析】(二) 生成push证书,生成Provisioning Profile(本篇) 3.【iOS push全方位解析】(三) [一个极简的demo,并测试一下push](http://blog.csdn.net/hherima/article/details/45624075) [这里查看原文](http://www.raywenderlich.com/32960/apple-push-notification-services-in-ios-6-tutorial-part-1) ### Provisioning Profile和证书,Oh My! 为了App中push通知好用,App需要provisioning profile签名。另外,App Server需要用SSL证书对push通知签名。provisioning profile和SSL 证书是紧密连接在一起的,并且仅对一个App ID可用,这么做可以保证只有你的App Server可以发送push消息到你的App而不是别人的App。 正如你所知,App使用不同的provisioning profile分别用于开发和发布。同样,也有两种push证书: ● Development 被开发者provisioning profile签名的app,App Server必须使用开发者证书发送通知。 ● Production 按照Ad Hoc或者APP Store发布的app,App Server必须使用production证书。如果两者混淆,那么App则收不到push通知。 本教程仅使用development 证书 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0f9e82d.jpg) ### 生成Certificate Signing Request(CSR) 还记得你是如何为App真机联调生成Development 证书么?如果记起来了,下面的步骤会很熟悉。但,我建议你还是严格按照步骤操作。大多数做push通知开发的时候,都遇到了证书问题。 数字证书是基于公-私钥的密码学。你不必知道cryptography如何使用证书:,但是你有必要了解:证书总是跟私钥一起工作的。证书只是“公-私钥”的公开部分。发给其他人是安全的,然而,私钥应该被保护好,它是一个秘密。私钥不是别人的事儿,而是你自己的事!有一点很重要:没有私钥,不能使用证书。 无论什么时候,请求一个数字证书,需要提供一个Certificate Signing Request(简写CSR)。当生成CSR,一个新的私钥被放到mac的钥匙串中了。接着,你发送CSR到一个证书机构(这里就是iOS developer protal),该机构将基于你提交的CSR生成SSL证书。 打开mac中的“钥匙串”,选择菜单,“Request a Certificate from a Certificate Authority” ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fb24f9.jpg) (图)请求证书1 如果你没有这个菜单选项或者显示“Request a certificate from a certificate Authority with key”,你下载并安装[WWDR InterMediate Certificate](https://developer.apple.com/certificationauthority/AppleWWDRCA.cer) ,并确保在钥匙串窗口中没有选中任何一个私钥。 你应该看到下图: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fc3804.jpg) (图)请求证书2 输入email地址。我听说需要使用,用于App签名的email相同。但是,好像其他什么email都ok。 输入“PushChat”作为名字,这儿可以输入任何字符,找一个好记的,方便后面我们发现私钥。选中【 Saved to disk】点击“Continue”。将文件保存为“PushChat.certSigningRequest”。在“密钥”这个栏中可以看到刚刚申请的private,右键,并选择“Exprot” ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fd32e5.jpg) (图)导出证书 保存私钥为PushChatKey.p12并输入一个密码。本教程中,我使用“pushchat”作为p12文件的密码,但是你应该选一个容易记的密码。这个密钥(p12)文件需要保密。 ### 生成App ID和SSL证书 登录iOS Dev Center选择右侧面板的“Certificate,Identifiers&Profile”。 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fe867a.jpg) (图)iOS dev center 下面的界面出现了 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1013148.jpg) (图)Certificate,Identifiers&Profile大纲 既然我们搞iOS app,在iOS Apps中选择“certificates”。现在你可以生成一个新的App ID。每一个push App需要唯一的ID,因为push通知是发送给指定的app 在左侧点击“App IDs”,点击“+”按钮 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b102ceaf.jpg) (图)添加App id 输入下面的信息: ● App ID Description:PushChat ● App Services Check the push Notification Checkbox ● Explicit App ID 你最好使用自己的BundleIdentifier-com.yoursite.PushChat-而不是使用我的。你还需要在Xcode中设置相同的Bundle ID。输入这些信息后,点击“Continue”。将询问你是否确定这些信息,如果一切无误后点击“Submit” 哈哈!你已经成功注册了一个新的App ID ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b105ecc8.jpg) (图)App ID生成了 接下来几分钟,你还会生成SSL证书,App Server将使用这个SSL证书跟APNS建立一个安全连接。这个证书跟App ID相连。APP Server只能发送push通知给这个App ID的程序,而不是其他App。 生成App ID后,它看在列表中这个位置: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1079abb.jpg) (图)App id的展示 在列表中点击这个PushChat App id,一个相关的窗口出现了: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10915be.jpg) (图)App id详情 注意在“Push Notification”这一行,两个橙色的原点,“Configurable”分别在Develop和Distribution栏。这表示你的App ID可以用于push,但是你还需要设置一下。点击“setting”按钮,配置一下: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10a909f.jpg) (图)App id config 向下滚动到“Push Notification”这一段,选择Develop SSL Certificate这一行的“Create Certificate”按钮。 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10c4527.jpg) (图)生成证书 “Add iOS Certificate”向导出现了: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10da6aa.jpg) (图)向导 第一件事,询问你生成Certificate signing Request,这一步你已经做完了,点击“continue”。下一步,你该上传CSR文件。选择刚才生成的CSR,点击“Generate”。 生成SSL 证书这将花费几秒钟,当它进行完成,点击“Continue”。 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1101fe2.jpg) 现在点击“Download”来获取证书,它自动被命名为“aps_development.cer” ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b111942f.jpg) (图)下载证书 正如你看到的,你已经有一个可用的证书,现在开发可以用push了。如果有需要,你还可以下载这个证书。开发者push证书三个月有效。 当你发布app,重复上面的操作。获取一个production 证书。步骤是相似的。production证书的有效期是一年,你需要确保在期限前。 没必要添加这个certificate到钥匙串,当然你可以双击aps_development.cer文件,你会发现它跟私钥关联起来了。 ### 制造PEM文件 到目前位置,你有三个文件: ● CSR文件 ● PushChatKey.p12私钥文件 ● SSL证书(aps_development.cer) 将这三个文件保存好。你可以把CSR扔了,但是我觉得存着更容易一些。当证书过期,你可以使用那个CSR来生成一个新的证书。如果你生成一个新的CSR,还要导出一个新的私钥(p12)。通过复用CSR你可以使用已有的私钥,仅.cer文件会变化。 你得将证书和私钥转成更容易使用的格式。因为,我们的app Server是用PHP写的,所以你需要将证书和私钥合成为PEM格式。PEM格式对PHP来说更容易使用。如果你的app Server使用其他语言写的,下面这些步骤不使用了。 你将使用OpenSSL命令行来操作。打开命令行执行下面的步骤,进入证书的下载文件夹,我的是桌面: $ cd ~/Desktop/ 转换cer为pem文件 $ openssl x509 -in aps_development.cer -inform der -out PushChatCert.pem 转换p12为pem文件 $ openssl pkcs12 -nocerts -out PushChatKey.pem -in PushChatKey.p12 Enter Import Password:  MAC verified OK Enter PEM pass phrase:  Verifying - Enter PEM pass phrase:  你第一次需要输入p12的密码,这样opensll可以读取它。接着你还为PEM需要输入一个新的密码。这儿我还使用“pushchat”,你可以使用更安全的密码。 注意:如果你没有输入PEM密码,openssl不会提示错误信息,但是生成的pem文件并没有私钥。 最后,合成证书和key为一个pem文件 $ cat PushChatCert.pem PushChatKey.pem > ck.pem 至此,检查一下证书是否正常。执行下面的命令: $ telnet gateway.sandbox.push.apple.com 2195 Trying 17.172.232.226... Connected to gateway.sandbox.push-apple.com.akadns.net. Escape character is '^]'. 上面是一个普通,没有加密的连接到APNS Server。看到以上的信息,说明你的mac可以连接到APNS。Ctrl + C关闭连接。如果得到错误消息,确保防火墙对2195是放开的。 我们再连接一次,这次使用SSL证书和私钥建立安全连接 $ openssl s_client -connect gateway.sandbox.push.apple.com:2195      -cert PushChatCert.pem -key PushChatKey.pem Enter pass phrase for PushChatKey.pem:  你应该看到一大堆输出,这些是openssl想让你知道后面在干什么。如果连接成功,你可以键入一些字符。输入回车,服务器关闭了连接。如果建立连接的时候有问题,openssl会给出错误信息,但是你得向上滚动查找到并查看。 【注意】:有两个APNS服务器:沙盒服务器用于测试,线上live用于生产模式。这里,我们使用沙盒服务器,因为我们的证书是development的,不是distribution的 ----------------------------------------------------------------------------------------------------------------------------- 译者加: 生成openssl证书和ck.pem的过程可以归纳为: ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b115e39c.jpg) ----------------------------------------------------------------------------------------------------------------------------- ### 制造provisioning profile 在iOS Dev Center 还没有,点击左侧栏的Provisioning profiles按钮,点击“+”按钮。 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1177bb7.jpg) (+provisioning file) **Step1:选择类型** 选择“iOS App development”选项按钮,点击continue ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1189f56.jpg) (provision develop) **Step2:配置** 选择PushChat app ID,可以保证provisioning profile准确的绑定了PushChat App ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11a4de3.jpg) (选择app id) **Step3:生成** 选择要包含的证书,这一步现在应该很常规。 ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11bded4.jpg) (选择证书) **Step4:选择devices** 选择你想包含的设备, ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11dfe6d.jpg) **Step5:profile的名字** 设置provisioning profile的名字为“PushChat Development” ![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b12098c5.jpg) (provisioning name) 你几乎已经完成了,最后,点击“Download”按钮,下载最新生成的provisioning profile。 双击provisioning profile添加到Xcode或者拖拽到xcode中。 如果你是发布App,可重复相似的过程。生成一个Ad Hoc或者App Store发布的profile。
';