生成OpenSSL证书,Provisioning Profile
最后更新于:2022-04-01 20:00:55
这是一篇来自[raywenderlich](http://www.raywenderlich.com)的教程,内容翔实!结构简单透彻、讲解循序渐进、文章质量上乘!是一篇难的的博文!使用半瓶的英语水平翻译了一下:
1.【iOS push全方位解析】(一) [push的概述](http://blog.csdn.net/hherima/article/details/45583787)
2.【iOS push全方位解析】(二) 生成push证书,生成Provisioning Profile(本篇)
3.【iOS push全方位解析】(三) [一个极简的demo,并测试一下push](http://blog.csdn.net/hherima/article/details/45624075)
[这里查看原文](http://www.raywenderlich.com/32960/apple-push-notification-services-in-ios-6-tutorial-part-1)
### Provisioning Profile和证书,Oh My!
为了App中push通知好用,App需要provisioning profile签名。另外,App Server需要用SSL证书对push通知签名。provisioning profile和SSL 证书是紧密连接在一起的,并且仅对一个App ID可用,这么做可以保证只有你的App Server可以发送push消息到你的App而不是别人的App。
正如你所知,App使用不同的provisioning profile分别用于开发和发布。同样,也有两种push证书:
● Development 被开发者provisioning profile签名的app,App Server必须使用开发者证书发送通知。
● Production 按照Ad Hoc或者APP Store发布的app,App Server必须使用production证书。如果两者混淆,那么App则收不到push通知。
本教程仅使用development 证书
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0f9e82d.jpg)
### 生成Certificate Signing Request(CSR)
还记得你是如何为App真机联调生成Development 证书么?如果记起来了,下面的步骤会很熟悉。但,我建议你还是严格按照步骤操作。大多数做push通知开发的时候,都遇到了证书问题。
数字证书是基于公-私钥的密码学。你不必知道cryptography如何使用证书:,但是你有必要了解:证书总是跟私钥一起工作的。证书只是“公-私钥”的公开部分。发给其他人是安全的,然而,私钥应该被保护好,它是一个秘密。私钥不是别人的事儿,而是你自己的事!有一点很重要:没有私钥,不能使用证书。
无论什么时候,请求一个数字证书,需要提供一个Certificate Signing Request(简写CSR)。当生成CSR,一个新的私钥被放到mac的钥匙串中了。接着,你发送CSR到一个证书机构(这里就是iOS developer protal),该机构将基于你提交的CSR生成SSL证书。
打开mac中的“钥匙串”,选择菜单,“Request a Certificate from a Certificate Authority”
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fb24f9.jpg)
(图)请求证书1
如果你没有这个菜单选项或者显示“Request a certificate from a certificate Authority with key”,你下载并安装[WWDR InterMediate Certificate](https://developer.apple.com/certificationauthority/AppleWWDRCA.cer) ,并确保在钥匙串窗口中没有选中任何一个私钥。
你应该看到下图:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fc3804.jpg)
(图)请求证书2
输入email地址。我听说需要使用,用于App签名的email相同。但是,好像其他什么email都ok。
输入“PushChat”作为名字,这儿可以输入任何字符,找一个好记的,方便后面我们发现私钥。选中【 Saved to disk】点击“Continue”。将文件保存为“PushChat.certSigningRequest”。在“密钥”这个栏中可以看到刚刚申请的private,右键,并选择“Exprot”
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fd32e5.jpg)
(图)导出证书
保存私钥为PushChatKey.p12并输入一个密码。本教程中,我使用“pushchat”作为p12文件的密码,但是你应该选一个容易记的密码。这个密钥(p12)文件需要保密。
### 生成App ID和SSL证书
登录iOS Dev Center选择右侧面板的“Certificate,Identifiers&Profile”。
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b0fe867a.jpg)
(图)iOS dev center
下面的界面出现了
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1013148.jpg)
(图)Certificate,Identifiers&Profile大纲
既然我们搞iOS app,在iOS Apps中选择“certificates”。现在你可以生成一个新的App ID。每一个push App需要唯一的ID,因为push通知是发送给指定的app
在左侧点击“App IDs”,点击“+”按钮
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b102ceaf.jpg)
(图)添加App id
输入下面的信息:
● App ID Description:PushChat
● App Services Check the push Notification Checkbox
● Explicit App ID
你最好使用自己的BundleIdentifier-com.yoursite.PushChat-而不是使用我的。你还需要在Xcode中设置相同的Bundle ID。输入这些信息后,点击“Continue”。将询问你是否确定这些信息,如果一切无误后点击“Submit”
哈哈!你已经成功注册了一个新的App ID
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b105ecc8.jpg)
(图)App ID生成了
接下来几分钟,你还会生成SSL证书,App Server将使用这个SSL证书跟APNS建立一个安全连接。这个证书跟App ID相连。APP Server只能发送push通知给这个App ID的程序,而不是其他App。
生成App ID后,它看在列表中这个位置:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1079abb.jpg)
(图)App id的展示
在列表中点击这个PushChat App id,一个相关的窗口出现了:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10915be.jpg)
(图)App id详情
注意在“Push Notification”这一行,两个橙色的原点,“Configurable”分别在Develop和Distribution栏。这表示你的App ID可以用于push,但是你还需要设置一下。点击“setting”按钮,配置一下:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10a909f.jpg)
(图)App id config
向下滚动到“Push Notification”这一段,选择Develop SSL Certificate这一行的“Create Certificate”按钮。
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10c4527.jpg)
(图)生成证书
“Add iOS Certificate”向导出现了:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b10da6aa.jpg)
(图)向导
第一件事,询问你生成Certificate signing Request,这一步你已经做完了,点击“continue”。下一步,你该上传CSR文件。选择刚才生成的CSR,点击“Generate”。
生成SSL 证书这将花费几秒钟,当它进行完成,点击“Continue”。
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1101fe2.jpg)
现在点击“Download”来获取证书,它自动被命名为“aps_development.cer”
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b111942f.jpg)
(图)下载证书
正如你看到的,你已经有一个可用的证书,现在开发可以用push了。如果有需要,你还可以下载这个证书。开发者push证书三个月有效。
当你发布app,重复上面的操作。获取一个production 证书。步骤是相似的。production证书的有效期是一年,你需要确保在期限前。
没必要添加这个certificate到钥匙串,当然你可以双击aps_development.cer文件,你会发现它跟私钥关联起来了。
### 制造PEM文件
到目前位置,你有三个文件:
● CSR文件
● PushChatKey.p12私钥文件
● SSL证书(aps_development.cer)
将这三个文件保存好。你可以把CSR扔了,但是我觉得存着更容易一些。当证书过期,你可以使用那个CSR来生成一个新的证书。如果你生成一个新的CSR,还要导出一个新的私钥(p12)。通过复用CSR你可以使用已有的私钥,仅.cer文件会变化。
你得将证书和私钥转成更容易使用的格式。因为,我们的app Server是用PHP写的,所以你需要将证书和私钥合成为PEM格式。PEM格式对PHP来说更容易使用。如果你的app Server使用其他语言写的,下面这些步骤不使用了。
你将使用OpenSSL命令行来操作。打开命令行执行下面的步骤,进入证书的下载文件夹,我的是桌面:
$ cd ~/Desktop/
转换cer为pem文件
$ openssl x509 -in aps_development.cer -inform der -out PushChatCert.pem
转换p12为pem文件
$ openssl pkcs12 -nocerts -out PushChatKey.pem -in PushChatKey.p12
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
你第一次需要输入p12的密码,这样opensll可以读取它。接着你还为PEM需要输入一个新的密码。这儿我还使用“pushchat”,你可以使用更安全的密码。
注意:如果你没有输入PEM密码,openssl不会提示错误信息,但是生成的pem文件并没有私钥。
最后,合成证书和key为一个pem文件
$ cat PushChatCert.pem PushChatKey.pem > ck.pem
至此,检查一下证书是否正常。执行下面的命令:
$ telnet gateway.sandbox.push.apple.com 2195
Trying 17.172.232.226...
Connected to gateway.sandbox.push-apple.com.akadns.net.
Escape character is '^]'.
上面是一个普通,没有加密的连接到APNS Server。看到以上的信息,说明你的mac可以连接到APNS。Ctrl + C关闭连接。如果得到错误消息,确保防火墙对2195是放开的。
我们再连接一次,这次使用SSL证书和私钥建立安全连接
$ openssl s_client -connect gateway.sandbox.push.apple.com:2195
-cert PushChatCert.pem -key PushChatKey.pem
Enter pass phrase for PushChatKey.pem:
你应该看到一大堆输出,这些是openssl想让你知道后面在干什么。如果连接成功,你可以键入一些字符。输入回车,服务器关闭了连接。如果建立连接的时候有问题,openssl会给出错误信息,但是你得向上滚动查找到并查看。
【注意】:有两个APNS服务器:沙盒服务器用于测试,线上live用于生产模式。这里,我们使用沙盒服务器,因为我们的证书是development的,不是distribution的
-----------------------------------------------------------------------------------------------------------------------------
译者加:
生成openssl证书和ck.pem的过程可以归纳为:
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b115e39c.jpg)
-----------------------------------------------------------------------------------------------------------------------------
### 制造provisioning profile
在iOS Dev Center 还没有,点击左侧栏的Provisioning profiles按钮,点击“+”按钮。
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1177bb7.jpg)
(+provisioning file)
**Step1:选择类型**
选择“iOS App development”选项按钮,点击continue
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b1189f56.jpg)
(provision develop)
**Step2:配置**
选择PushChat app ID,可以保证provisioning profile准确的绑定了PushChat App
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11a4de3.jpg)
(选择app id)
**Step3:生成**
选择要包含的证书,这一步现在应该很常规。
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11bded4.jpg)
(选择证书)
**Step4:选择devices**
选择你想包含的设备,
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b11dfe6d.jpg)
**Step5:profile的名字**
设置provisioning profile的名字为“PushChat Development”
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2016-03-10_56e11b12098c5.jpg)
(provisioning name)
你几乎已经完成了,最后,点击“Download”按钮,下载最新生成的provisioning profile。
双击provisioning profile添加到Xcode或者拖拽到xcode中。
如果你是发布App,可重复相似的过程。生成一个Ad Hoc或者App Store发布的profile。
';