iOS & iPad OS 企业签侧载+反苹果侦察证书防失效教程
Almighty基本无害
编辑于 2024年11月19日 14:09

相信各位在iOS上用企业签证书侧载软件的时候经常会经历证书过期或者证书被苹果撤销的情况,使用Troll Stroe显然可以解决证书失效的问题但是有大量的iOS用户都已经更新了iOS17+,使得Troll Store变成了一个无法使用的选择。

但是用户和苹果之间的斗智斗勇永远也不会结束,这个教程意在通过修改设备DNS设置或者使用代理软件的方式来阻止设备和苹果服务器的验证沟通,从而达到使企业证书签的app免疫掉签的效果。

本教程的大部分内容是从这篇博客里翻译转述的: https://avieshek.wordpress.com/2024/06/11/how-to-sideload-on-ios/

事先说明一下,一般来说一个拥有正常理解能力的用户在完全按照本教程操作后事100%可以自己完成设置的,如果你遇到问题建议再读一遍本教程或者去原博客里查找。

使用到的链接

  1. DNS: https://github.com/khoindvnDNS/iOS/raw/main/DNS/khoindns.mobileconfig

  2. Esign: https://github.com/khoindvnDNS/iOS/tree/main/Esign-iPA

  3. Certs: https://github.com/khoindvnDNS/iOS/raw/main/DNS/Esign-Certs.zip

  4. Repo: https://raw.githubusercontent.com/swaggyP36000/TrollStore-IPAs/main/apps_esign.json

第一步,配置网络文件:

首先来设置一下DNS我们使用的是一个来自名叫Khơindvn 的GitHub项目,的现成 DNS 配置文件,感谢油管博主“Pork the Jork”的分享。此配置文件旨在阻止苹果服务器验证非通过App Store下载的应用的捆绑ID,这些应用在安装前会被签名,因为自iOS 13以来,应用程序并不像PC或Mac那样在本地签名。整个机制称为“绕过撤销”(Bypass Revoke),在这种情况下就算你使用的证书已经被列入黑名单,也可以从新签名并安装测载app。

步骤:

1.在运行iOS或者iPad OS的设备上将Safari设为默认浏览器,然后点击这个链接 https://github.com/khoindvnDNS/iOS/raw/main/DNS/khoindns.mobileconfig

2.打开设置>通用>VPN与设备管理

3.点击名为KhơinDNS的描述配置文件

4.点击安装

5.在访问限制和代理里的DNS选项里勾选 Adware Filter✓(DoH) 如果你想顺带屏蔽广告,勾选 Adware FilterX(DoH) 如果你不想顺带屏蔽广告

好了你已经成功设置了屏蔽苹果服务器的DNS了,当然如果你本身就在适用自制的DNS配置那么你可以在你的服务器或者DNS工具(列如NextDNS)里手动屏蔽以下网址:

ocsp.apple.com

ocsp2.apple.com

valid.apple.com

crl.apple.com

certs.apple.com

appattest.apple.com

vpp.itunes.apple.com

6.(可选)请注意:

如果你经常使用使用诸如Shadowrocket或者Quantmatix之类的软件,你还需要做额外步骤,因为很多代理软件会接管设备的全部网络流量,并不会调用iOS自带的DNS配置。以Shadowrocket为例,你应该在你的Shadowrocket的配置本地文件纯文本文件里加上以下脚本:

DOMAIN,oscp.apple.com,REJECT

DOMAIN,oscp2.appe.com,REJECT

DOMAIN,valid.apple.com,REJECT

DOMAIN,crl.apple.com,REJECT

DOMAIN,crl.entrust.net,REJECT

DOMAIN,certs.apple.com,REJECT

DOMAIN,appattest.apple.com,REJECT

DOMAIN,vpp.itunes.apple.com,REJECT

如果你使用的是Quantmatix,那么你的屏蔽脚本应该是:

HOST,oscp.apple.com,REJECT

HOST,oscp2.appe.com,REJECT

HOST,valid.apple.com,REJECT

HOST,crl.apple.com,REJECT

HOST,crl.entrust.net,REJECT

HOST,certs.apple.com,REJECT

HOST,appattest.apple.com,REJECT

HOST,vpp.itunes.apple.com,REJECT

请注意,设置完屏蔽脚本后,应该把软件的全局代理模式设置成根据配置文件,而不是全局代理或者全局直连。有些情况下你的代理服务器配置文件还会自动更新,请在不确定的情况下将其关闭。如果你还没有搞明白代理软件该怎么设置的话可以去看这个教程(https://pica.ff19.xyz/QA#%E9%98%BB%E6%AD%A2%E8%8B%B9%E6%9E%9C%E9%AA%8C%E8%AF%81)

第二步,下载安装Esign:

好了现在如果你已经有了自己的侧载手段的话,你已经可以退出这个教程了。如果你还不知道怎么侧载,那么请跟着看下去。

这一步里会教如何安装名叫轻松签(Esign)的软件:

1.点击这个链接(https://esigncert.github.io/khoindvn/),拉到网页底部的Esign Free(Bypass Revoke)部分,挨个点击链接尝试使用免费证书安装 Esign。如果一个证书对不起作用,那么就尝试下一个。

2.在Esign安装完成后,打开设置>通用>VPN与设备管理,找到企业级APP

3.点击证书名称(比如China CITIC Bank Corporation Limited),你应该会看到一个大大的信任按钮,点击信任并输入设备密码之类的

4.做完上一步,这个时候你已经可以打开Esign了。现在打开 Esign 应用程序,在底部导航栏的“下载”选项卡下,找到顶部的省略号 •••,然后选择“设置”以启用“下载完成自动导入”和“导入后自动删除”,方便之后的使用。

第三步,导入证书到Esign:

在这一步里我们将使用过期的免费证书而不是最新的证书...比如是 印度的HDFC 人寿保险,或更老的证书,比如中国阳光保险集团。在第一步正确设置的情况下,即使这些证书已经被苹果撤销,也可以正常使用。

1.1.点击这个链接(https://github.com/khoindvnDNS/iOS/raw/main/DNS/Esign-Certs.zip)下载证书的压缩包。用iOS自带的文件app将下载好的压缩包拖到Esign的根目录里。

1.2.或者你也可以复制上述链接(https://github.com/khoindvnDNS/iOS/raw/main/DNS/Esign-Certs.zip),打开Esign>下载>•••>网址 黏贴这个链接并确认

2.在Esign APP的底部栏里转到文件选项,在更目录(如果你使用了1.1的方法),或者Downloads文件夹(如果你使用了1.2的方法)里应该有一个叫做Esign-Certs.zip的文件,点击并选择解压。此时会出现一个同名的文件夹叫做Esign-Certs

3.打开Esign-Certs,选择先前在第二步中使用的企业名的文件,点击并选择导入证书库

4.在Esign APP的底部栏里转到设置选项,点击签名默认配置,打开签名后立即安装方便签名安装一步到位。

第四步,找到你喜欢的iPA源并导入Esign:

很多Github的苹果软件开发者会将自己打包好的ipa文件做成repo,Esign支持导入和从repo下载使用软件。

1.在Esign APP的底部栏里转到AppStore选项,点击左上角软件源选项,点击右上角加号选项,输入网址并按添加。

2.分享一些常用的软件源网址,请自己按需求添加:

iTorrent Repo (Direct)

https://xitrix.github.io/iTorrent/AltStore.json

qBitControl Repo (Direct)

https://raw.githubusercontent.com/Michael-128/qBitControl-releases/main/source.json

YTLitePlus Repo (Direct)

https://raw.githubusercontent.com/Balackburn/YTLitePlusAltstore/main/apps.json

EeveeSpotify Repo (Direct)

https://raw.githubusercontent.com/whoeevee/EeveeSpotify/swift/repo.json

AppTesters IPA Repo (Alternate)

https://repo.apptesters.org

CyPwn IPA Repo (Egern)

https://ipa.cypwn.xyz/cypwn.json

奇心源:

https://qxnav.com/altstore.json

第五步

Esign支持从软件源装ipa软件,也支持安装任何已经打包成ipa的软件。

1.安装从软件源下载的文件过程非常简单,在底栏AppStore点击下载,然后到底栏下载里点击导入应用(如果你做了第二部4.的话这这个会自动导入),然后到底栏应用点击下好的应用,点击签名,立即签名,等待几十秒到一分钟左右就签名且安装完成了。

2.如果要安装从其他地方下载的ipa软件,先用iOS自带的文件app将ipa文件拖入Esign的根目录,然后在Esign的底栏文件选项里找到你放入的ipa,点击并选择导入应用库,然后按照1.一样签名安装就可以了