我的内核扩展是否为 Yosemite 正确签名?
Is my kernel extension correctly signed for Yosemite?
我正在尝试签署内核扩展文件 "abc.kext"。
我有一个启用了 kext 的证书并尝试使用
签署我的 "abc.kext"
codesign --sign "Developer ID Application: MyCompany (XXXXXXXX)" -a "x86_64" abc.kext
为了验证签名是否成功本人运行:
codesign --verify -vvvv abc.kext
输出为:
abc.kext: code object is not signed at all
还有运行:
spct -a -v --type install abc.kext
输出为:
abc.kext:rejected
source: no usable signature
如果我运行:
kextutil -tn abc.kext
输出为:
abc.kext appears to be loadable (including linkage for on-disk libraries).
有人可以帮我找出我做错了什么吗?
你没有明确这么说,但从你得到的输出来看,你似乎在尝试对一个多架构 kext 进行联合签名?如果是这样,请不要那样做!
命令 codesign --verify -vvvv abc.kext 适用于我构建并签名的内核扩展,不需要明确的架构。 kextutil -n 是任何不兼容性的一个很好的指标,包括代码签名,但它只适用于 OS X 的 运行 版本,所以你需要检查它与你计划的所有版本支持。
如果出于某种原因您需要创建一个基于现有通用二进制文件而不是源代码的 kext 签名版本,您将需要提取二进制文件的 64 位部分,从中创建一个 kext 包并签字。然后,您的安装程序可以将这个签名的 64 位 kext 放入 /Library/Extensions,如果安装程序检测到它正在安装在包含 OS X 10.8 或更早版本的卷上,另外将现有的通用 kext 放入 [=14] =]. (此外,为了 if/when 进行升级,kext 不会突然停止工作或生成签名警告。)
要提取 64 位二进制文件,请使用:
lipo -thin x86_64 abc.kext/Contents/MacOS/abc -output ./abc-64.kext/Contents/MacOS/abc
其中 abc.kext 是原始通用 kext,而 abc-64.kext 是您将要签名的新 kext。您应该为已签名的 kext 提供相同的包标识符,但包版本号高于通用版本,即使它们在功能上是相同的。如果 OS.
可以加载更高版本的版本,则将选择它
不同OS X版本的kext需求概览:
签名的 kexts 只会在 OS X 10.8 和更新版本上加载,并且这些版本都附带 64 位内核。如果你想支持旧版本的 OS X,你需要为这些版本单独的 kext。 OS X 10.6 和 10.7 内核可以是 32 位或 64 位,因此如果您想支持这些版本,请使用 unsigned 通用内核扩展。 64 位部分已签名的 kext 可能 加载到 32 位内核中,但绝对 不会加载 64 位 10.6 /10.7 内核。 10.5 和更早版本只有 32 位内核,当然它们同时存在 PowerPC 和 i386 变体(后者仅从 10.4 开始)。我不知道是否可以创建一个 3 架构的 kext,但我怀疑是的。只是不要签名。
仅在 10.9 及更高版本上需要签名,因此您可以灵活选择每个 kext 涵盖的版本。 (10.8 也将愉快地加载未签名的通用 kext 的 64 位部分)
顺便说一下,在构建 kexts 时,使用对应于 最旧 支持的 OS X 版本的 OS X SDK。部署目标机制不适用于内核扩展。 (大部分)
我正在尝试签署内核扩展文件 "abc.kext"。 我有一个启用了 kext 的证书并尝试使用
签署我的 "abc.kext"codesign --sign "Developer ID Application: MyCompany (XXXXXXXX)" -a "x86_64" abc.kext
为了验证签名是否成功本人运行:
codesign --verify -vvvv abc.kext
输出为:
abc.kext: code object is not signed at all
还有运行:
spct -a -v --type install abc.kext
输出为:
abc.kext:rejected
source: no usable signature
如果我运行:
kextutil -tn abc.kext
输出为:
abc.kext appears to be loadable (including linkage for on-disk libraries).
有人可以帮我找出我做错了什么吗?
你没有明确这么说,但从你得到的输出来看,你似乎在尝试对一个多架构 kext 进行联合签名?如果是这样,请不要那样做!
命令 codesign --verify -vvvv abc.kext 适用于我构建并签名的内核扩展,不需要明确的架构。 kextutil -n 是任何不兼容性的一个很好的指标,包括代码签名,但它只适用于 OS X 的 运行 版本,所以你需要检查它与你计划的所有版本支持。
如果出于某种原因您需要创建一个基于现有通用二进制文件而不是源代码的 kext 签名版本,您将需要提取二进制文件的 64 位部分,从中创建一个 kext 包并签字。然后,您的安装程序可以将这个签名的 64 位 kext 放入 /Library/Extensions,如果安装程序检测到它正在安装在包含 OS X 10.8 或更早版本的卷上,另外将现有的通用 kext 放入 [=14] =]. (此外,为了 if/when 进行升级,kext 不会突然停止工作或生成签名警告。)
要提取 64 位二进制文件,请使用:
lipo -thin x86_64 abc.kext/Contents/MacOS/abc -output ./abc-64.kext/Contents/MacOS/abc
其中 abc.kext 是原始通用 kext,而 abc-64.kext 是您将要签名的新 kext。您应该为已签名的 kext 提供相同的包标识符,但包版本号高于通用版本,即使它们在功能上是相同的。如果 OS.
可以加载更高版本的版本,则将选择它不同OS X版本的kext需求概览:
签名的 kexts 只会在 OS X 10.8 和更新版本上加载,并且这些版本都附带 64 位内核。如果你想支持旧版本的 OS X,你需要为这些版本单独的 kext。 OS X 10.6 和 10.7 内核可以是 32 位或 64 位,因此如果您想支持这些版本,请使用 unsigned 通用内核扩展。 64 位部分已签名的 kext 可能 加载到 32 位内核中,但绝对 不会加载 64 位 10.6 /10.7 内核。 10.5 和更早版本只有 32 位内核,当然它们同时存在 PowerPC 和 i386 变体(后者仅从 10.4 开始)。我不知道是否可以创建一个 3 架构的 kext,但我怀疑是的。只是不要签名。
仅在 10.9 及更高版本上需要签名,因此您可以灵活选择每个 kext 涵盖的版本。 (10.8 也将愉快地加载未签名的通用 kext 的 64 位部分)
顺便说一下,在构建 kexts 时,使用对应于 最旧 支持的 OS X 版本的 OS X SDK。部署目标机制不适用于内核扩展。 (大部分)