SignTools项目中使用自签名证书实现OTA安装的注意事项

背景介绍

SignTools是一个开源的iOS应用签名工具，它允许开发者通过网页界面进行应用的签名和分发。其中OTA(Over-The-Air)安装功能让用户可以直接在iOS设备上通过网页安装已签名的应用，而不需要通过电脑连接。

问题现象

在使用SignTools时，当通过反向代理(特别是使用自签名证书)访问服务时，可能会遇到"Unable to install *.ipa"的错误提示。具体表现为：

1. 直接通过HTTP访问SignTools服务时，OTA安装功能正常工作
2. 通过HTTPS反向代理访问时，安装过程会失败
3. 手动下载IPA文件后，通过命令行工具安装仍然可以成功

根本原因

经过深入分析，这个问题源于苹果对OTA安装的安全限制：

1. HTTPS要求：苹果强制要求OTA安装的清单文件(manifest)必须通过HTTPS协议提供
2. 证书信任链：iOS系统默认不信任自签名证书，即使反向代理配置正确
3. 协议检测机制：SignTools会检测请求是否通过HTTPS访问，如果不是则会通过中转服务处理

解决方案

方案一：使用受信任的证书

最直接的解决方案是使用受信任的CA机构颁发的证书(如Let's Encrypt)：

1. 申请一个有效的域名
2. 为该域名获取Let's Encrypt证书
3. 配置反向代理使用该证书

方案二：信任自签名证书(开发环境适用)

如果只能在开发环境使用自签名证书，可以按照以下步骤使iOS设备信任该证书：

1. 导出证书：将自签名证书的公钥部分导出为.crt格式
2. 传输到设备：通过邮件或其他方式将证书发送到iOS设备
3. 安装证书：
   • 在iOS设备上打开证书文件
   • 按照提示进入设置安装证书
4. 完全信任证书：
   • 进入设置 > 通用 > 关于 > 证书信任设置
   • 为安装的证书启用"完全信任根证书"选项

技术细节

SignTools的工作流程

1. 用户访问网页界面并点击安装
2. 服务端生成或返回manifest清单文件
3. iOS系统读取manifest并获取IPA文件URL
4. 系统下载并安装IPA文件

反向代理配置要点

无论使用Nginx还是lighttpd作为反向代理，都需要确保：

1. 正确传递Host头信息
2. 设置X-Forwarded-Proto头为https
3. 保持WebSocket连接(如果使用)

自签名证书的特殊处理

在开发环境中使用自签名证书时，还需要注意：

1. 构建服务器可能需要设置NODE_TLS_REJECT_UNAUTHORIZED=0
2. iOS设备必须完全信任证书链
3. 证书的SAN(Subject Alternative Name)需要包含使用的域名

最佳实践建议

1. 生产环境建议使用受信任的证书
2. 开发环境可以使用自签名证书，但需要确保所有设备都信任该证书
3. 定期检查证书有效期，避免因证书过期导致服务中断
4. 考虑使用自动化工具(如certbot)管理证书续期

通过以上措施，可以确保SignTools在各种环境下的OTA安装功能正常工作，为iOS应用的开发和分发提供便利。