bezpieczeństwo / codesign w Sierra: Keychain ignoruje ustawienia kontroli dostępu i UI-monity o pozwolenie

Komenda z Ta odpowiedź odblokowała tylko dla mnie pęk kluczy, ale nadal miałem monit UI z pytaniem, czy obecna aplikacja może użyć klucza.

Zapobiegłem takiemu pytaniu:

Przejdź do pęku kluczy w Keychain Access, kliknij dwukrotnie wszystkie klawisze, a na karcie Kontrola dostępu zaznacz "Zezwól wszystkim aplikacjom na dostęp do tego elementu".

Udało mi się przesłać nowy plik pęku kluczy do mojego Jenkins build serwer, gdzie jest odblokowywany przez wtyczkę Keychain i Provisioning Profiles . Budowa zakończyła się podpisaniem.

Dla tych, którzy mają ten problem z Travisem lub innym CI, musisz dodać codesign na liście ID aplikacji.

security set-key-partition-list -S apple-tool:,apple:,codesign: -s -k keychainPass keychainName

P. S: Używam keychainName.keychain (dodawanie .keychain)

Z jakiegoś powodu security set-key-partition-list nie zadziałało dla mnie.

Rozwiązałem to używając opcji-A podczas importowania certyfikatu w pęku kluczy:

security import ${P12_FILE} -k ${KEYCHAIN_PATH} -P ${P12_PASSWORD} -A

Nie ma potrzeby używania security set-key-partition-list później.

Ta opcja umożliwia dowolnej aplikacji dostęp do zaimportowanego klucza bez ostrzeżenia. W związku z tym zapobiega pojawianiu się monitu. Zauważ, że jest to niebezpieczne, ponieważ klucz nie jest chroniony, ale w zależności od kontekstu budowania może to pomóc.

Do tego brelok musi być dodane do listy wyszukiwania:

security list-keychains -s ${KEYCHAIN_PATH}

Następnie brelok powinien być odblokowany. W przeciwnym razie zostanie wyświetlony monit z pytaniem o hasło do pęku kluczy:

security unlock-keychain -p ${KEYCHAIN_PASSWORD} ${KEYCHAIN_PATH}

Ostatecznie timeout automatycznej blokady powinien być wyłączony. Jest to w przypadku, gdy budowa jest dość długa i pęk kluczy ponownie się blokuje:

security set-keychain-settings ${KEYCHAIN_PATH}

Po wypróbowaniu wielu różnych rozwiązań, to, co działało dla mnie, to po prostu zmiana hasła do breloka.

• Finder > Go > Utilities
• Otwórz narzędzie dostępu do pęku kluczy.
• nie jestem pewien, czy muszę wykonać ten krok: na lewym pasku bocznym narzędzia Keychain Access kliknij Moje Certyfikaty. Spójrz na kolumnę pęku kluczy, aby potwierdzić, w którym pęku kluczy znajduje się twój certyfikat Apple developer. W moim przypadku było to w pęku kluczy "login".
• Zmień hasło dla brelok z poprzedniego kroku. Możesz spróbować go zablokować, a następnie odblokować, jeśli jest zablokowany. Możesz zmienić hasło, klikając na odpowiedni pęk kluczy ("login", w moim przypadku), a następnie wybierając "Zmień hasło..."z menu Edycja narzędzia Keychain Access.
• następnym razem, gdy uruchomiłem krok archiwum w Xcode (w menu produktu), w końcu zostałem poproszony o hasło do pęku kluczy i wpisałem hasło do mojego pęku kluczy "login". Potem zadziałało. Po zakończeniu Zobaczyłem ekran archiwów z moją aplikacją na liście.

Obok

security set-key-partition-list -S apple-tool:,apple: -s -k keychainPass keychainName

Musiałem również zmienić ustawienia dla mojego pęku kluczy na" no timeout " używany przez

security set-keychain-settings keychainName

(Dokumentacja dostępna pod adresem https://ss64.com/osx/security-keychain-settings.html )

Spędziłem kilka dni szukając rozwiązania. To nie pomogło

security import ${P12_FILE} -k ${KEYCHAIN_PATH} -P ${P12_PASSWORD} -A

Ale kiedy wyraźnie wymieniłem aplikacje-zadziałało (przynajmniej na Catalinie)!

security import ${P12_FILE} -k ${KEYCHAIN_PATH} -P ${P12_PASSWORD} -T /usr/bin/codesign -T /usr/bin/productsign

Również jeśli aplikacja była budowana dłużej niż 5 minut - możesz zabraknąć niestandardowego timera blokady pęku kluczy i otrzymać -1 = ffffffff błąd. Więc wyłącz blokadę pęku kluczy jako rozwiązanie tmp.