当社は、Mac OS X と Windows の両方でアプリケーションを開発しています。Windows インストーラーの識別に使用する、Apple 以外の機関から購入した既存のコード署名証明書があります。DMG と MSI の両方を自社の Web サイトで配布しています。
Mountain Lion の新しい Gatekeeper 機能のコード署名ガイドは、Apple 以外が発行した標準証明書が機能することを暗示しているようですが、この場合の「サードパーティ」の意味を誤解している可能性があります。
注: Apple では、コード署名証明書の業界標準のフォームとフォーマットを使用しています。したがって、他のシステムでコードに署名するために使用するサードパーティの署名 ID が会社に既にある場合は、OS X の codesign コマンドでそれを使用できます...
この Apple 以外の証明書を使用することは可能ですか? 可能であれば、コマンド ラインの「codesign」コマンドを使用してどのように組み込むことができますか?
いいえ。機能しない理由は次のとおりです。GateKeeper を通過するには、Apple Developer ID で署名されたコード署名証明書が必要です。これは、会社に発行される通常のコード署名証明書とは異なります。Apple Developer ID を発行するのは Apple だけです。(または、少なくとも、この記事の執筆時点では。)
これは非常に紛らわしいです。
私たちがコード署名証明書を購入した会社は、特に MacOS で動作すると主張していました。しかし、彼らが意味したのは、技術的に言えば Apple コードに署名できるということでした。しかし、GateKeeper の通過は異なります。(控えめに言っても不明確なマーケティングです。)
現時点では、サード パーティの証明書を使用したコードの署名について説明している不明確な Apple ドキュメントがあります。例: https://developer.apple.com/library/mac/documentation/security/conceptual/CodeSigningGuide/Procedures/Procedures.html
ただし、コードに署名することはできますが、GateKeeper を通過しません! 繰り返しますが、これは社内アプリケーションの使用を指している場合もあれば、単に時代遅れになっている場合もあります。
Gatekeeper は Apple デジタル証明書のみを認識します。Windows は、Comodo、Verisign、およびその他のいくつかの署名機関のみを認識します。そのため、Windows 用の Comodo (または類似の) 証明書を購入し、Apple 開発者プログラムに年間 99 ドルを支払う必要があります。これにより、Apple 証明書も取得できます。控えめに言っても、かなり面倒です。