Paketinstallationsprogramm in Apple Business für eine Anwendung erstellen
Du kannst ein Paketinstallationsprogramm für eine Anwendung erstellen, das du dann Apple Business hinzufügen und für Benutzer:innen bereitstellen kannst. Wenn es für eine Anwendung kein Paketinstallationsprogramm gibt, lässt sich mit den in macOS integrierten Werkzeugen ein solches Installationsprogram erstellen, um die Anwendung zu verteilen. Hierfür eignen sich Anwendungen mit einer einfachen Struktur am besten, etwa solche, die sich vollständig in einem einzelnen .app- Bundle befinden, das in der Regel unter „/Applications“ (Programme) liegt.
Pakete signieren
Damit du ein Paket zur Verteilung mit Apple Business erstellen kannst, benötigst du eine kryptografische Signieridentität, der deine verwalteten Geräte vertrauen. Mit dieser Identität wird bestätigt, wer ein Paket erstellt hat, und sichergestellt, dass es nicht geändert wurde, nachdem es signiert wurde. Wenn du ein Mitglied des Apple Developer Program bist, kannst du deine Identität für das Installationsprogramm verwenden. Weitere Informationen zum Signieren deiner Anwendungen für Gatekeeper findest du hier.
Identität für das Installationsprogramm erstellen
Wenn du noch keine Signieridentität hast, kannst du eine erstellen. Zur Identifizierung werden dieser Identität ein von dir ausgewählter Name und eine zufällige Seriennummer zugewiesen (du kannst mehrere erstellen). Falls einer dieser Schritte fehlschlägt, schließe das Terminal-Fenster und öffne ein neues. Diese Schritte müssen auf einem Mac mit macOS 13 oder neuer ausgeführt werden.
Erstelle auf deinem Schreibtisch einen neuen Ordner mit der Bezeichnung temp.
Öffne die Terminal-App, gib
cdein und drücke die Leertaste einmal.Ziehe den Ordner „temp“ in das Fenster der Terminal-App.
Nun wird ein Pfad angezeigt, der ungefähr so aussieht:
cd /Users/[YourShortUserName]Desktop/packagesDrücke die Eingabetaste.
Gib
ID="name"ein, wobei du statt „name“ einen Kurznamen für deine Organisation eingibst. Wenn dieser Name Leerzeichen enthält, sind Anführungszeichen zu verwenden. „Meine Organisation“ kann beispielsweise MyOrg oder „Meine Organisation“ (mit Anführungszeichen) sein.Drücke die Eingabetaste.
Wichtig: Alle weiteren Befehle müssen in dieses Fenster eingegeben werden.
Setze die nachfolgenden Befehle ein und drücke dann die Eingabetaste.
KEY="InstallerCertificate_${ID}_PrivateKey.pem"openssl req -x509 -nodes -days 365 -newkey rsa:4096 -sha256 \-addext basicConstraints=critical,CA:false \-addext keyUsage=critical,digitalSignature \-set_serial "0x$(openssl rand -hex 4)" \-subj "/CN=Installer Certificate ($ID)" \-out InstallerCertificate_"$ID".pem \-keyout "$KEY"Setze in dasselbe Terminal-Fenster die nachfolgenden Befehle ein und drücke dann die Eingabetaste. Gib dein Passwort ein, um festzulegen, dass das Zertifikat der neuen Identität vertrauenswürdig ist.
security import "InstallerCertificate_$ID.pem"security import "$KEY" \-T /usr/bin/productbuild -T /usr/bin/pkgbuildsecurity add-trusted-cert -d InstallerCertificate_"$ID".pemÖffne den Ordner „temp“, um dein neues Zertifikat (InstallerCertificate_Name.pem) und den zugehörigen privaten Schlüssel (InstallerCertificate_Name_PrivateKey.pem) anzuzeigen. Das Wort „Name“ in diesen Bezeichnungen wird durch den Namen ersetzt, den du im vierten Schritt eingegeben hast.
Bewahre eine Kopie des Zertifikats auf, da es benötigt wird, um Geräte so zu konfigurieren, dass sie mit dem Zertifikat signierten Paketen vertrauen.
Der private Schlüssel wurde in deinen Schlüsselbund importiert, um ihn dort sicher zu speichern. Er kann daher aus diesem Ordner entfernt werden.
Wichtig: Es ist wichtig, dass du den Schlüssel des Zertifikats löschst, damit keine andere Person vortäuschen kann, von deiner Organisation zu sein, und so Pakete signiert.
Die Identität läuft ein Jahr nach ihrer Erstellung ab. Du musst das oben aufgeführte Verfahren dann erneut durchführen und alle Pakete, die mit der vorherigen Identität signiert wurden und weiterhin verteilt werden, neu signieren. Der private RSA-Schlüssel für deine Identität wird aus Sicherheitsgründen in deinem Schlüsselbund gesichert. Wenn du auf einem anderen Mac Pakete erstellen und signieren möchtest, musst du den privaten Schlüssel exportieren, sodass du ihn auf dem anderen Mac importieren kannst.
Geräte darauf vorbereiten, deiner Signieridentität zu vertrauen
Nachdem du eine Signieridentität erstellt hast, müssen deine Geräte so konfiguriert werden, dass sie dieser Identität vertrauen. Hierzu kannst du das Zertifikat der Identität als Konfiguration verteilen.
Rufe die Datei InstallerCertificate_Name.pem der Identität ab, wobei statt „Name“ der Name verwendet wird, den du bei der Erstellung ausgewählt hast.
Folge den Anweisungen in Zertifikatskonfiguration erstellen und weise die Einstellung allen Geräten zu, auf denen du von dir erstellte Pakete installieren wirst.
Wichtig: Alle, die im Besitz des privaten Schlüssels für eine Signieridentität sind, können Pakete erstellen, denen konfigurierte Geräte ohne Warnung vertrauen. Falls es einen Grund zur Annahme gibt, dass der private Schlüssel, der mit dem Zertifikat übereinstimmt, verloren gegangen ist oder ohne Autorisierung kopiert wurde, kannst du die Zertifikatkonfiguration löschen und eine neue Signieridentität erstellen.
Paket für eine Anwendung mit einem einzelnen Paket erstellen
Wenn du eine Signieridentität erstellt hast, der deine Geräte vertrauen, kannst du damit Pakete erstellen, um Apps an diese Geräte zu verteilen. Denke dabei daran, dass sich am besten Anwendungen verteilen lassen, die in einem einzelnen .app-Paket enthalten sind.
Vergewissere dich, dass sich die Anwendung im Ordner „/Applications“ (Programme) befindet.
Erstelle auf deinem Schreibtisch einen neuen Ordner mit der Bezeichnung packages.
Öffne die Terminal-App, gib
cdein und drücke die Leertaste einmal.Ziehe den Ordner „packages“ in das Fenster der Terminal-App und drücke dann die Eingabetaste.
Nun wird ein Pfad angezeigt, der ungefähr so aussieht:
$ /Users/[YourShortUserName]Desktop/packagesGib
productbuild --signein und drücke die Leertaste einmal.Füge den Namen deiner Identität hinzu, den du im vierten Schritt der Aufgabe „Identität für das Installationsprogramm erstellen“ eingegeben hast, drücke die Leertaste einmal, gib dann
--componentein und drücke die Leertaste noch einmal.Ziehe die Anwendung von „/Applications“ (Programme) in das Terminal-Fenster und drücke die Leertaste einmal.
Gib einen Namen für das Paket ein. Dieser muss auf
.pkgenden und im Allgemeinen dem Namen der Anwendung entsprechen.Beispiel:
productbuild --sign MyCo --component /Applications/AppName AppName.pkgDrücke die Eingabetaste.
Der Befehl
productbuildführt dazu, dass Informationen angezeigt werden, während die Anwendung verarbeitet und das Paket im Ordner „packages“ erstellt wird.Wenn du zum ersten Mal eine von dir erstellte Identität verwendest, wirst du möglicherweise zur Eingabe deines Passworts aufgefordert, damit der Schlüssel der Identität verwendet werden kann. Falls eine solche Aufforderung angezeigt wird, gib dein Passwort ein und wähle „Immer erlauben“ aus.
Beende die Terminal-App.
Hinweis: Apple Business lehnt Pakete ab, die mit einer außerhalb des Apple Developer Program erstellten Identität signiert sind – es sei denn, ein Geräteverwaltungsdienst sendet sie an ein verwaltetes Gerät, das so konfiguriert ist, dass es der Identität vertraut. Pakete, die mit dieser Methode erstellt werden, lassen sich nicht auf anderen Geräten installieren.
Zertifikat einer Konfiguration hinzufügen
Apple-Geräte müssen so konfiguriert sein, dass sie der neuen Signieridentität vertrauen, bevor das Paket an Benutzer:innen gesendet werden kann, um die Anwendung zu installieren.
Verteile das Zertifikat. Siehe Zertifikatskonfiguration erstellen.
Sobald alle Geräte das neue Zertifikat erhalten haben, kannst du das Paket hochladen. Siehe Ein Paket erstellen.