Die notarielle Beglaubigung von macOS-Installationsprogrammen ist eine Sicherheitsmaßnahme, die von Apple eingeführt wurde, um die Legitimität und Sicherheit von Software zu überprüfen, die außerhalb des Mac App Store vertrieben wird. Sie gibt den Nutzern im Wesentlichen mehr Vertrauen, dass die App, die sie installieren möchten, nicht manipuliert wurde und frei von Malware ist.
Aus Sicht der Paketierung ist eine notarielle Beglaubigung notwendig, wenn der Endkunde beabsichtigt, den Nutzern die manuelle Installation der von Apptimized erstellten Pakete zu erlauben. Wenn das Paket notariell beglaubigt wurde, werden die Benutzer keine Warnungen erhalten und müssen die Installation nicht über die Registerkarte “Sicherheit” im macOS-System genehmigen.
Beispiel für eine Warnung, die erscheint, wenn ein .pkg-Installationsprogramm ohne Notarisierung gestartet wird:
Wie es funktioniert
- Der Entwickler reicht das Installationspaket oder Disk-Image bei Apple ein.
- Apple scannt das Paket auf bösartigen Code und verdächtige Inhalte.
- Wenn der Scanvorgang erfolgreich ist, stellt Apple ein “Ticket” aus, das die Legitimität der App bestätigt.
- Wenn Benutzer versuchen, die notariell beglaubigte App zu installieren, sucht Gatekeeper (das in macOS integrierte Sicherheitssystem) nach dem Ticket.
- Wenn das Ticket vorhanden und gültig ist, lässt Gatekeeper die Installation ohne Warnungen zu.
Was wird für die notarielle Beurkundung benötigt?
- Ein aktives Abonnement für das Apple Developer Program (https://developer.apple.com/).
- Aktuelles Xcode. Die Mindestanforderung ist Xcode 14 (kann aus dem App Store heruntergeladen werden).
- Erzeugt ein app-spezifisches Passwort (https://support.apple.com/en-us/102654).
Werfen wir einen genaueren Blick auf den Prozess der notariellen Beurkundung.
Zunächst sollte ein Paket-Installationsprogramm signiert werden. Um das erforderliche Zertifikat zu erhalten, müssen Sie sich beim Apple Developer Program anmelden und es vom Verwaltungsportal herunterladen. Das benötigte Zertifikat ist der “Developer ID Installer”.
Der Befehl zum Signieren des Installationsprogramms lautet:
productsign –sign “Entwickler-ID Installer: Firmenname XXXXXXX” ./Chrome.pkg ./Chrome_Signed.pkg
Um zu überprüfen, ob das Installationsprogramm signiert ist, können Benutzer den folgenden Befehl verwenden:
pkgutil –check-signature /PfadZurDatei/Chrome_Signed.pkg
Wie wird das Installationsprogramm notariell beglaubigt?
Der Apple Notary Service wird ab dem 1. November 2023 keine Uploads aus Xcode 13 oder früher oder aus altool mehr akzeptieren. Benutzer müssen zum Befehlszeilen-Dienstprogramm notarytool wechseln oder auf Xcode 14 oder höher aktualisieren, wenn sie ihre Mac-Software mit dem Apple Notary Service unter Verwendung des Befehlszeilen-Dienstprogramms altool oder Xcode 13 oder früher notariell beglaubigen.
So wird der Befehl zur Beglaubigung aussehen:
xcrun notarytool einreichen /PfadZurDatei/Chrome_Signed.pkg –apple-id <apple-account-email> –team-id <teamid> –Passwort <Passwort> –verbose
- <apple-account-email> – der Apple ID-Benutzername, den Sie für die Developer ID-Dienste verwenden.
- <teamid> – Team-ID, die unter https://developer.apple.com/account#MembershipDetailsCard zu finden ist
- <Passwort> – Anwendungsspezifisches Passwort, hier erstellt – https://appleid.apple.com/account/manage
Um den Status der Beglaubigung zu überprüfen, verwenden Sie den folgenden Befehl:
xcrun notarytool info <UUID> –apple-id <apple-account-email> –team-id <teamid> –Passwort <Passwort>
- Die UUID ist eine 36-stellige Zeichenfolge, die einen bestimmten Beglaubigungsantrag eindeutig identifiziert. Die Benutzer können sie bei der Beglaubigungsanfrage erhalten. Beispiel für eine UUID (id-Wert aus dem Screenshot):
- Die Werte für <apple-account-email>, <teamid> und <Passwort> sind die gleichen wie die, die für den Befehl submit verwendet werden.
Die Ausgabe des Befehls sollte im Falle einer erfolgreichen Beglaubigung wie folgt aussehen:
Der nächste Schritt ist das Heften. Der Begriff “Heften” bezieht sich auf den Prozess, bei dem die Beglaubigungsinformationen mit dem Programm- oder Installationspaket verbunden werden. Nachdem eine Anwendung oder ein Installationsprogramm von Apple beglaubigt wurde, ist das Heften ein zusätzlicher Schritt, bei dem das Beglaubigungsticket an das Softwarepaket “angeheftet” wird.
Der Befehl zum Heften lautet:
xcrun stapler staple /PfadZurDatei/Chrome_Signed.pkg
Das Ergebnis der Befehlsausführung sollte die Meldung sein: “Die Aktion “Heften und Validieren” hat funktioniert!”
Und das sind alle erforderlichen Aktionen! Das Installationsprogramm wurde erfolgreich notariell beglaubigt und geheftet, so dass es ohne Probleme auf jedem Rechner manuell installiert werden kann.
Wenden Sie sich an unser Support-Team, wenn Sie Fragen haben oder Hilfe benötigen, oder vereinbaren Sie einen Termin für eine Demo mit unseren Experten.
Rufen Sie die Apptimized Plattform auf, um eine Paketierung anzufordern. Wählen Sie die erforderliche Priorität und geben Sie, falls vorhanden, eine Referenz für einen Verpackungsexperten an.
