Créer un installateur de paquets pour une application dans Apple Business
Vous pouvez créer un installateur de paquets pour une application que vous pouvez ensuite ajouter à Apple Business pour le déploiement aux utilisateurs et utilisatrices. Si une application n’a pas d’installateur de paquets, il est possible d’utiliser les outils intégrés à macOS pour en créer un en vue de sa distribution. Cela fonctionne mieux avec des applications à structure simple, comme celles qui sont entièrement contenues dans un seul fichier .app lot, généralement situé dans /Applications.
Signer vos paquets
Avant que vous puissiez créer un paquet pour le distribuer à l’aide d’Apple Business, vous devez avoir une identité de signature cryptographique à laquelle vos appareils gérés font confiance. Cette identité sert à vérifier qui a créé un paquet et que ce dernier n’a pas subi de modifications depuis qu’il a été signé. Si vous êtes membre de l’Apple Developer Program, vous pouvez utiliser votre identité d’installateur. Consultez la section Sign your applications for Gatekeeper.
Créer une identité d’installateur
Si vous ne possédez pas d’identité de signature, vous pouvez en créer une. L’identité a un nom que vous choisissez et un numéro de série aléatoire pour l’identifier (si vous pouvez en créer plusieurs). Si, à un moment donné, ces étapes ne fonctionnent pas, fermez la fenêtre Terminal et ouvrez-en une nouvelle. Vous devez exécuter ces étapes sur un Mac équipé de macOS 13 ou une version ultérieure.
Créez un dossier sur votre bureau et nommez-le temp
Ouvrez l’app Terminal, puis saisissez
cdet appuyez sur la barre d’espace une fois.Faites glisser le dossier temp sur la fenêtre de l’app Terminal.
Un chemin d’accès semblable à celui-ci s’affichera :
cd /Users/[YourShortUserName]Desktop/packagesAppuyez sur Retour.
Entrez
ID="name", où name est une version courte du nom de votre organisation. N’utilisez pas d’espaces dans le nom sans guillemets. Par exemple, Mon Organisation peut être MonOrg (sans guillemets) ou « Mon Organisation » (avec des guillemets).Appuyez sur Retour.
Important : Toutes les commandes suivantes doivent être entrées à l’intérieur de cette fenêtre.
Collez toutes les commandes ci-dessous, puis appuyez sur Retour.
KEY="InstallerCertificate_${ID}_PrivateKey.pem"openssl req -x509 -nodes -days 365 -newkey rsa:4096 -sha256 \-addext basicConstraints=critical,CA:false \-addext keyUsage=critical,digitalSignature \-set_serial "0x$(openssl rand -hex 4)" \-subj "/CN=Installer Certificate ($ID)" \-out InstallerCertificate_"$ID".pem \-keyout "$KEY"Dans la même fenêtre de Terminal, copiez toutes les commandes ci-dessous, puis appuyez sur Retour. Saisissez votre mot de passe pour définir le nouveau certificat en tant que certificat de confiance.
security import "InstallerCertificate_$ID.pem"security import "$KEY" \-T /usr/bin/productbuild -T /usr/bin/pkgbuildsecurity add-trusted-cert -d InstallerCertificate_"$ID".pemOuvrez le dossier temp pour voir votre nouveau certificat intitulé InstallerCertificate_name.pem, et sa clé privée intitulée InstallerCertificate_name_PrivateKey.pem, où « name » est le nom choisi à l’étape 4.
Conservez une copie du certificat pour vos dossiers, car il est nécessaire pour configurer les appareils afin qu’ils fassent confiance aux paquets signés avec ce certificat.
La clé privée a été importée dans votre trousseau pour être stockée en sécurité et doit être supprimée de ce dossier.
Important : Il est important que vous supprimiez la clé du certificat pour que personne d’autre ne puisse se faire passer pour une personne de votre organisation et signer des paquets.
Cette identité expire un an après sa création. À ce moment, vous devez à nouveau suivre les mêmes étapes et signer une nouvelle fois tous les paquets qui sont toujours distribués et qui avaient été signés avec l’identité précédente. La clé privée RSA pour votre identité est sauvegardée dans votre trousseau pour plus de sécurité. Si vous devez créer et signer des paquets sur un autre Mac, vous devez exporter la clé privée pour l’importer sur l’autre Mac.
Préparer vos appareils pour qu’ils fassent confiance à votre identité de signature
Vos appareils doivent être configurés pour faire confiance à une identité de signature lorsque celle-ci a été créée. Pour ce faire, vous pouvez distribuer le certificat de l’identité sous forme de configuration.
Récupérez le certificat intitulé InstallerCertificate_name.pem pour l’identité, où « name » est le nom choisi lors de la création.
Suivez la procédure Créer une configuration de certificat et attribuez-la à tous les appareils sur lesquels vous installez les paquets que vous créez.
Important : Toute personne possédant la clé privée d’une identité de signature peut créer des paquets auxquels les appareils configurés font confiance sans avertissement. Par conséquent, si vous avez des raisons de penser que la clé privée correspondant au certificat a été égarée ou copiée sans autorisation, vous devez supprimer la configuration pour le certificat et créer une nouvelle identité de signature.
Créer un paquet pour une application avec un seul lot
Une fois que vous disposez d’une identité de signature à laquelle vos appareils font confiance par configuration, vous pouvez l’utiliser pour créer des paquets en vue de fournir des apps à ces appareils. En faisant cela, gardez à l’esprit que les applications contenues dans un seul paquet .app sont les plus faciles à distribuer.
Assurez-vous que l’application se trouve dans votre dossier /Applications.
Créez un dossier sur votre bureau et nommez-le packages.
Ouvrez l’app Terminal, puis saisissez
cdet appuyez sur la barre d’espace une fois.Faites glisser le dossier des paquets sur la fenêtre de l’app Terminal, puis appuyez sur Retour.
Un chemin d’accès semblable à celui-ci s’affichera :
$ /Users/[YourShortUserName]Desktop/packagesEntrée
productbuild --sign, puis appuyez sur la barre d’espace une fois.Ajoutez le nom de votre identité (où « name » est le nom que vous avez saisi à l’étape 4 de la tâche « Créer une identité d’installateur »), appuyez sur la barre d’espace une fois, puis saisissez
--component, puis appuyez de nouveau sur la barre d’espace une fois.Faites glisser l’application dans la fenêtre de Terminal à partir de \Applications, puis appuyez sur la barre d’espace une fois.
Entrez un nom pour le paquet. Celui-ci doit se terminer par
.pkget a généralement le même nom que l’app.Voici un exemple :
productbuild --sign MyCo --component /Applications/AppName AppName.pkgAppuyez sur Retour.
La commande
productbuildaffiche l’information dans la console à mesure qu’elle traite l’application et qu’elle crée le paquet dans votre dossier packages.S’il s’agit de la première fois que vous utilisez une identité que vous avez créée, il se peut qu’on vous demande de saisir votre mot de passe pour accorder la permission d’utiliser la clé de cette identité. Si c’est le cas, saisissez votre mot de passe et sélectionner Toujours autoriser.
Quittez l’app Terminal.
Remarque : Apple Business rejette tout paquet signé par une identité créée en dehors de l’Apple Developer Program, à moins qu’un service de gestion d’appareils ne le livre à un appareil géré avec une configuration permettant d’approuver cette identité. Si vous tentez d’installer sur d’autres appareils un paquet créé par cette méthode, l’installation échoue.
Ajouter le certificat à une configuration
Les appareils Apple doivent être configurés pour faire confiance à la nouvelle identité de signature avant que le paquet puisse être envoyé aux utilisateurs pour installer l’application.
Distribuez le certificat. Consultez la section Créer une configuration de certificat.
Une fois que tous les appareils ont le nouveau certificat, vous pouvez téléverser le paquet. Consultez la rubrique Créer un paquet.