使用 EAS 更新进行端到端代码签名

生成私钥和相应的证书

🌐 Generate a private key and corresponding certificate

在此步骤中，我们将为你的应用生成一对密钥及相应的代码签名证书。请为 --key-output-directory 标志指定一个在你的源代码管理之外的目录，以确保生成的私钥不会被意外添加到源代码管理中。

🌐 In this step, we will generate a key pair and corresponding code signing certificate for your app. Specify a directory outside of your source control for the --key-output-directory flag to ensure the generated private key isn't accidentally added to source control.

此命令生成了一对密钥以及一个用于包含在应用中的代码签名证书：

🌐 This command generated a key pair along with a code signing certificate to be included in the app:

• ../keys/private-key.pem：密钥对的私钥。
• ../keys/public-key.pem：密钥对的公钥。
• certs/certificate.pem：代码签名证书配置为有效期为 10 年。此文件应添加到源代码管理中（如果适用）。
• 生成的私钥必须保持私密和安全。上面的命令建议在源代码管理之外的目录中生成和存储这些密钥，以确保它们不会被意外地提交到源代码管理中。我们建议以存储其他敏感信息（如 KMS、密码管理器等）的方式来存储私钥，而存储方式的不同会影响在步骤（3）中发布更新所需的操作步骤。
• 公钥可以与私钥一起存储，但它不敏感。
• 证书应包含在项目中（签入到源代码管理）。它包含公钥和用于验证代码签名的方法。当下载签名的更新时，将使用此证书来验证更新的签名。
• 证书有效期是一个设置，可能会根据你的应用的安全需求而有所不同。
  • 较短的有效期将需要更频繁地进行密钥轮换，但这被认为是更好的做法，因为一旦私钥被泄露，其过期时间更早，从而限制了风险暴露。
  • 较短的有效期会增加应用发布流程的开销，因为密钥需要更频繁地轮换。证书过期的二进制文件将无法应用新的更新。
  • 例如，Expo 对公共的 Expo Go 应用将此值设置为 20 年，但对于内部应用（其二进制文件更新更频繁）则仅设置为 1 年。我们计划每 10 年更换一次密钥。

配置你的项目以使用代码签名

🌐 Configure your project to use code signing

如果你使用持续原生生成（CNG）来生成你的原生项目，那么由 npx expo-updates codesigning configure 命令生成的 app.json 配置就是你所需要的一切。更改将在下一次生成原生项目时应用。

{
  "expo": {
    "updates": {
      "codeSigningCertificate": "./certs/certificate.pem",
      "codeSigningMetadata": {
        "keyid": "main",
        "alg": "rsa-v1_5-sha256"
      }
    }
  }
}

如果你没有使用连续原生生成 (CNG) 来生成原生项目，那么你需要在应用的 AndroidManifest.xml 和/或 Expo.plist 文件中配置代码签名。

<meta-data
  android:name="expo.modules.updates.CODE_SIGNING_CERTIFICATE"
  android:value="(insert XML-escaped certificate here)"
  />
<meta-data
  android:name="expo.modules.updates.CODE_SIGNING_METADATA"
  android:value="{&quot;keyid&quot;:&quot;main&quot;,&quot;alg&quot;:&quot;rsa-v1_5-sha256&quot;}"
  />

    <key>EXUpdatesCodeSigningCertificate</key>
    <string>-----BEGIN CERTIFICATE-----&#xD;
(insert XML-escaped certificate, it should look something like this)&#xD;
(spanning multiple lines with \r escaped but \n not escaped)&#xD;
+-----END CERTIFICATE-----&#xD;
</string>
    <key>EXUpdatesCodeSigningMetadata</key>
    <dict>
      <key>keyid</key>
      <string>main</string>
      <key>alg</key>
      <string>rsa-v1_5-sha256</string>
    </dict>

配置代码签名后，使用新的运行时版本创建一个新的构建。代码签名证书将嵌入到这个新构建中。

🌐 With code signing configured, create a new build with a new runtime version. The code signing certificate will be embedded in this new build.

发布已签名的应用更新

🌐 Publish a signed update for your app

在使用 eas update 发布 EAS 更新时，EAS CLI 会自动检测到你的应用已配置代码签名。然后，它会验证更新的完整性，并使用你的私钥创建数字签名。此过程在本地执行，因此你的私钥不会离开你的计算机。生成的签名会自动发送到 EAS，以便与更新一起存储。

🌐 During an EAS Update publish using eas update, the EAS CLI automatically detects that code signing is configured for your app. It then verifies the integrity of the update and creates a digital signature using your private key. This process is performed locally so that your private key never leaves your machine. The generated signature is automatically sent to EAS to store alongside the update.

确认更新已加载

🌐 Verify that the update is loaded

在客户端下载更新（这一步由库自动补齐）。从步骤（2）构建的用于代码签名的版本会检查是否有可用的新更新。服务器会返回在步骤（3）发布的更新及其生成的签名。在下载更新之后但在应用之前，会根据嵌入的证书和包含的签名对更新进行验证。如果证书和签名有效，则应用更新；否则，更新会被拒绝。

🌐 Download the update on the client (this step is done automatically by the library). The build from step (2) that is configured for code signing checks if there is a new update available. The server responds with the update published in step (3) and its generated signature. After being downloaded but before being applied, the update is verified against the embedded certificate and included signature. The update is applied if the certificate and signature are valid, and rejected otherwise.