CA.unity#7 Windows/Macの証明書の取得と、署名済みインストーラーを作成するビルドプロセスの紹介

Transcript

1. Windows/Macの証明書の取得と、 署名済みインストーラーを作成する ビルドプロセスの紹介 2023/9/15 CA.unity #7 Flamers, Inc. / CTO

   だーら（設楽広太）

2. 設楽広太（だーら）. @3tdara Flamers共同創業者 CTO Unity / C# / Rails /

   AWS 2019年、大学休学中にFlamersを共同創業。 創業事業は「長期インターンサイトVoil」、開発から営業、学生の キャリアアドバイザーなどを担当。 2022夏より新規事業として「恋愛メタバースMemoria」を立ち上 げ、開発チームを率いている。 自己紹介 入って ます！ 作った曲！聴いて ください！

3. メタバース空間でのマッチングサービス 今年の4月に正式リリースしました。 相手が紹介され、メタバースで初めて話し、デ ートを重ねていきます。 20組以上お付き合い、2組婚約しました 🎉 Memoriaのご紹介

4. ビルドの配布 Windows Mac Quest（AppLab） ↑ ↑ 署名・インストーラーの作成をしないと、 ユーザーに手間をかけてしまう。

5. 目次 アプリ配布の課題感 開発元登録・署名プロセス（Windows編） 開発元登録・署名プロセス（Mac編） GitHub Actionsでのビルド & 署名プロセスの自動化 1. 2.

   3. 4. 普段は触れる機会の 少ない話かもです が、いつかの参考に なったら幸いです！

6. 目次 アプリ配布の課題感 開発元登録・署名プロセス（Windows編） 開発元登録・署名プロセス（Mac編） GitHub Actionsでのビルド & 署名プロセスの自動化 1. 2.

   3. 4.

7. アプリ配布の課題感 署名が無い インストーラー が無い

8. $ ls -l@ ~/Downloads/AppName.app/Contents/MacOS/AppName -rwxrwxrwx@ 1 UserName staff 115638 2

   17 18:55 /Users/UserName/Downloads/AppName.app/Contents/MacOS/AppName com.apple.quarantine 57 署名が無いことの問題 起動時にセキュリティ警告が出る Windowsは→で実行を選択したら起動可能 Macはターミナルでコマンド入力が必要 Webブラウザでダウンロード時にも警告がでる WindowsのSmartScreen警告 この問題が発生するのは、インターネット経由での配布（ギガファイル便やGoogleドライ ブ経由）や、Airdrop経由の場合。SSDを相手に渡してコピーさせるときは発生しない。 ↑ この属性が原因で開けない → 取り除くコマンドを打つ必要がある

9. アプリ配布の課題感 ターミナル開くの強 制させるサービスな んて見たこと無いよ な...ごめん

10. インストーラーが無いことの問題 zipの解凍方法が分からない バージョン管理が難しい（Downloadフォルダに新/旧verが共存する） アプリアイコンが作成されない

11. 開発元登録 署名 インストーラー 作成 署名 & インストーラー作成 Windows Mac

12. 目次 アプリ配布の課題感 開発元登録・署名プロセス（Windows編） 開発元登録・署名プロセス（Mac編） GitHub Actionsでのビルド & 署名プロセスの自動化 1. 2.

    3. 4.

13. コード証明書の種類 https://comodo.jp/products/code.html SmartScreen解除のためには、「EVタイプ」を選択 電話確認の結果、スタンダードでは 「十数回のダウンロードで問題なければSmartScreen解除」 「アプリが更新される度にリセットされる」

14. 申請手続き Webから申請 → 書類を送付 → 電話確認を受ける → USBを受け取って完了 Webから申請 書類送付

    （申請書類、履歴事項 全部証明書） ↑で必要になるD-U-N-Sナンバーは知らないうちに取得済み。 「東京商工リサーチ」に電話相談 電話確認 USBを受け取る 期間: 3週間ほど

15. > signtool sign /tr http://timestamp.comodoca.com/rfc3161 /td sha256 /fd sha256 /a

    /n "証明書の発行者名" "署名するファイルのパス" Done Adding Additional Store Successfully signed: "署名するファイルのパス" 署名 最終的に、PowerShellでsignコマンドを打ち、SafeNetにパスワードを入れる 前段階の準備として... ・Windows SDKに含まれるsigntool.exeのインストール ・SafeNet Authenticationクライアントのインストール

16. インストーラーの作成 「Inno Setup」を利用 アイコンが作成される デフォルトのインストール場所: C:¥Program FIles(x86) 更新による上書きと、データの引き継ぎが可能 PlayerPrefsのデータは引き継がれる Download

    ウィザードに沿って初期設定

17. 生成された独自規格の.issスクリプト （Git管理対象にしている） このボタンからインストーラーをビルド

18. 目次 アプリ配布の課題感 開発元登録・署名プロセス（Windows編） 開発元登録・署名プロセス（Mac編） GitHub Actionsでのビルド & 署名プロセスの自動化 1. 2.

    3. 4.

19. Apple Developer Programへの登録 Apple Developerアプリ（Mac）で申請 法人の場合はD-U-N-S番号が必要（東京商工リサーチに電話し確認） Appleからメールが送られ、登記情報をPDFで送信する Appleから電話で確認され、審査完了 🎉 Apple

    Developerへ登録 ローカルMacで証明書の作成 Webサイトから、証明書やIDなどを登録 → Developer ID Installer: インストーラー署名用 Developer ID Application: アプリ本体署名用

20. 権限をまとめた.entitlementの作成 XCodeで作ると楽 （Unityアプリとは無関係） 署名と申請 # .appに署名 > codesign (option) “Developer

    ID Application: チーム名等” .entitlementファイルのpath .appのpath # .pkg化と署名 > productbuild .appのpath 略 --sign "Developer ID Installer: チーム名 等" pkgのpath # Appleに提出（数分でaccepted） > Xcrun notarytool submit pkgのpath "自分のApple ID" "パスワード" "チーム ID" --wait コマンドは簡略化

21. <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

    <plist version="1.0"> <dict> <key>com.apple.security.app-sandbox</key> <true/> <key>com.apple.security.device.audio-input</key> <true/> <key>com.apple.security.files.user-selected.read-only</key> <true/> <key>com.apple.security.network.client</key> <true/> <key>com.apple.security.network.server</key> <true/> <key>com.apple.security.cs.allow-unsigned-executable-memory</key> <true/> </dict> </plist> .entitlementファイル

22. 補足: 上書きについて Windows: 問答無用で、後からインストールしたもので置き換わる。 Unityビルドのversionと、Inno Setupのversionの高低は関係ない。 Mac: ProjectSettingsのMac向けBuildの数値が、現行以上だと置き換わる（同じ数 値でも置き換わる）

23. 補足: 会社単位？アプリ単位？ 会社単位 その会社の存在がきちんと証明できるか？というのが関心事 申請書類の提出時に、アプリの情報は渡していない。 同じ会社で複数アプリを作る場合にも一度の申請でOK

24. 目次 アプリ配布の課題感 開発元登録・署名プロセス（Windows編） 開発元登録・署名プロセス（Mac編） GitHub Actionsでのビルド & 署名プロセスの自動化 1. 2.

    3. 4.

25. Define Symbolの変更 XR Plug-inの変更 Release / Testの変更（参照する AddressableのS3バケットなど） Androidは署名 Switch

    Platformによる弊害を防ぐた め根本から別ディレクトリにしている Self-Hosted Runnerでのビルド Windows Mac Android iOS 前処理 ビルド to 署名 & インストーラー アップロード 時間のかかる処理は、Unity/C#から 実行せずShellScriptを直接実行 Aborting batchmode due to failure: Timeout after 300 seconds while waiting async operations to finish

26. キャッシュが使えない時は ビルド時間が長い Self-Hosted RunnerではLibraryが 消えないので、時短になる キャッシュを利用して短時 間でビルド

27. Self-Hosted Runnerの登録 OSごとの料金 今後、UaaL（Unity as a Library）を用い たAndroid / iOSビル

    ドもしていきたい。

28. Checkoutも プラットフォーム分 ビルドプロセス （Mac部分を抜粋） Macの署名、インストーラービルド、提出 ビルドファイルをS3へアップロード UnityからGitHub Actionへ変数を引き渡し （一度ローカルで.txtの形で書き出し、それを GitHub

    Actionから読み取っている） AddressableのビルドをS3へアップロード

29. ご清聴ありがとうございました！