Update script for Notarization (#1132)

durswd · durswd · commit 06a3a1c4256d · 2026-03-22T13:31:49.000+09:00
Update script for Notarization
diff --git a/Dev/Mac/Effekseer.app/Contents/Info.plist b/Dev/Mac/Effekseer.app/Contents/Info.plist
@@ -3,9 +3,29 @@
 "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
 <plist version="1.0">
   <dict>
+    <key>CFBundleDevelopmentRegion</key>
+    <string>en</string>
+    <key>CFBundleIdentifier</key>
+    <string>com.effekseer.Effekseer</string>
     <key>CFBundleExecutable</key>
     <string>EffekseerLauncher</string>
+    <key>CFBundleName</key>
+    <string>Effekseer</string>
+    <key>CFBundleDisplayName</key>
+    <string>Effekseer</string>
+    <key>CFBundlePackageType</key>
+    <string>APPL</string>
+    <key>CFBundleInfoDictionaryVersion</key>
+    <string>6.0</string>
+    <key>CFBundleShortVersionString</key>
+    <string>1.73.0</string>
+    <key>CFBundleVersion</key>
+    <string>1.73.0</string>
     <key>CFBundleIconFile</key>
     <string>Icon.icns</string>
+    <key>LSMinimumSystemVersion</key>
+    <string>10.15</string>
+    <key>NSPrincipalClass</key>
+    <string>NSApplication</string>
   </dict>
 </plist>
diff --git a/Script/Notarization_Mac/Effekseer_cert.sh b/Script/Notarization_Mac/Effekseer_cert.sh
@@ -2,27 +2,85 @@
 set -eu
 
 profile="${2:-${NOTARYTOOL_PROFILE:-effekseer-notarytool}}"
+app_path="Effekseer/Effekseer.app"
+dmg_path="Effekseer.dmg"
+app_zip="Effekseer-app.zip"
+app_submit_out="$(mktemp "${TMPDIR:-/tmp}/effekseer-app-notarytool.XXXXXX")"
+dmg_submit_out="$(mktemp "${TMPDIR:-/tmp}/effekseer-dmg-notarytool.XXXXXX")"
+
+trap 'rm -f "$app_zip" "$app_submit_out" "$dmg_submit_out"' EXIT
+
+submit_and_log_failure() {
+    artifact="$1"
+    label="$2"
+    profile="$3"
+    output_log="$4"
+    submit_out="$5"
+
+    if xcrun notarytool submit "$artifact" --keychain-profile "$profile" --wait >"$submit_out" 2>&1; then
+        cat "$submit_out"
+        return 0
+    fi
+
+    echo "Notarization failed for $label" >&2
+    cat "$submit_out" >&2
+
+    request_id=$(sed -n 's/.*id:[[:space:]]*//p' "$submit_out" | head -n 1)
+    if [ -n "$request_id" ]; then
+        echo "Downloading notarization log for $label: $output_log" >&2
+        if xcrun notarytool log "$request_id" --keychain-profile "$profile" "$output_log" >/dev/null 2>&1; then
+            echo "Saved notarization log: $output_log" >&2
+        else
+            echo "Failed to download notarization log for request $request_id" >&2
+        fi
+    else
+        echo "Could not find a request ID in the notarytool output for $label" >&2
+    fi
+
+    return 1
+}
 
 echo "DevID $1 Profile $profile"
 
-for file in Effekseer/Effekseer.app/Contents/Resources/*.dylib ; do
-    [ -f "$file" ] || continue
-    echo codesign "$file"
-    codesign --force --verify --verbose --sign "$1" "$file" --deep --options runtime --entitlements entitlements.plist --timestamp
-done
-
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/EffekseerMaterialEditor" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/Effekseer" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/libfbxsdk.dylib" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/libEffekseerMaterialCompilerGL.dylib" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/mqoToEffekseerModelConverter" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/libEffekseerMaterialCompilerMetal.dylib" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/fbxToEffekseerModelConverter" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/Resources/tools/fbxToEffekseerCurveConverter" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app/Contents/MacOS/EffekseerLauncher" --deep --options runtime --entitlements entitlements.plist --timestamp
-codesign --force --verify --verbose --sign "$1" "Effekseer/Effekseer.app" --deep --options runtime --entitlements entitlements.plist --timestamp
-
-hdiutil create Effekseer.dmg -volname "Effekseer" -srcfolder "Effekseer"
-
-codesign --force --verify --verbose --sign "$1" "Effekseer.dmg" --deep --options runtime --timestamp
-xcrun notarytool submit "Effekseer.dmg" --keychain-profile "$profile" --wait
+find "$app_path/Contents" -type f \( -name '*.dylib' -o -perm -u+x -o -perm -g+x -o -perm -o+x \) -exec sh -c '
+    file="$1"
+    sign_id="$2"
+    echo "Signing $file"
+    case "$file" in
+        *.dylib)
+            codesign --force --sign "$sign_id" --options runtime --timestamp "$file"
+            ;;
+        *)
+            codesign --force --sign "$sign_id" --options runtime --entitlements entitlements.plist --timestamp "$file"
+            ;;
+    esac
+' sh {} "$1" \;
+
+echo "Signing app bundle: $app_path"
+codesign --force --sign "$1" --options runtime --entitlements entitlements.plist --timestamp "$app_path"
+
+echo "Verifying app bundle signature"
+codesign --verify --deep --strict --verbose=4 "$app_path"
+
+echo "Creating zip for app notarization: $app_zip"
+ditto -c -k --keepParent "$app_path" "$app_zip"
+
+echo "Notarizing app bundle archive: $app_zip"
+submit_and_log_failure "$app_zip" "app bundle" "$profile" "Effekseer-app-notarytool-log.json" "$app_submit_out"
+
+echo "Stapling app bundle: $app_path"
+xcrun stapler staple "$app_path"
+
+echo "Creating dmg from stapled app bundle: $dmg_path"
+hdiutil create "$dmg_path" -volname "Effekseer" -srcfolder "Effekseer"
+
+echo "Signing dmg: $dmg_path"
+codesign --force --sign "$1" --timestamp "$dmg_path"
+
+echo "Verifying dmg signature"
+codesign --verify --verbose=4 "$dmg_path"
+echo "Notarizing dmg: $dmg_path"
+submit_and_log_failure "$dmg_path" "dmg" "$profile" "Effekseer-dmg-notarytool-log.json" "$dmg_submit_out"
+
+echo "Stapling dmg: $dmg_path"
+xcrun stapler staple "$dmg_path"
diff --git a/Script/Notarization_Mac/Effekseer_cert_post.sh b/Script/Notarization_Mac/Effekseer_cert_post.sh
diff --git a/Script/Notarization_Mac/README.md b/Script/Notarization_Mac/README.md
@@ -7,11 +7,9 @@ This folder contains helper scripts for codesigning, notarizing, and stapling th
 ### Files
 
 - `Effekseer_cert.sh`
-  - Codesigns the app bundle and bundled executables, creates `Effekseer.dmg`, and submits it for notarization with `xcrun notarytool` using a Keychain profile.
+  - Signs bundled executables that have any executable bit set with the app entitlements, signs `.dylib` files without entitlements, then signs the app bundle, creates a temporary zip for app notarization, creates `Effekseer.dmg`, and submits both for notarization with `xcrun notarytool` using a Keychain profile.
 - `Effekseer_cert_check.sh`
   - Checks the notarization status using the request ID with `xcrun notarytool` and the same Keychain profile.
-- `Effekseer_cert_post.sh`
-  - Staples the notarization ticket to `Effekseer.dmg`.
 - `Effekseer_notarytool_setup.sh`
   - Stores App Store Connect credentials in the Keychain for later use by `notarytool`.
 - `Effekseer_notarytool_log.sh`
@@ -46,11 +44,7 @@ If you want to use a different profile name, pass it as the second argument or s
 sh Effekseer_cert.sh "Developer ID Application: Your Name (TEAMID)" "my-notary-profile"
 ```
 
-After notarization is approved, run:
-
-```bash
-sh Effekseer_cert_post.sh
-```
+`Effekseer_cert.sh` now performs the full flow, including stapling both the app bundle and the DMG in the correct order.
 
 If you want to check the request status:
 
@@ -68,8 +62,39 @@ Notes:
 
 - The scripts use `xcrun notarytool` and `xcrun stapler`.
 - `Effekseer_cert.sh` expects the app bundle and related tools to already be built and placed under `Effekseer/`.
+- `notarytool` does not accept a raw `.app` bundle, so the script creates a temporary zip archive for app notarization and removes it afterward.
 - `Effekseer_notarytool_setup.sh` is the only script that handles the App-specific password, and it stores that secret in the Keychain for reuse.
 - `Effekseer_notarytool_log.sh` is useful when `notarytool submit` returns a rejection and you need the JSON issue report.
+- When `Effekseer_cert.sh` fails, it writes notarization logs to `Effekseer-app-notarytool-log.json` or `Effekseer-dmg-notarytool-log.json` if a request ID can be recovered.
+- `Effekseer_cert.sh` now performs this full order: notarize app, staple app, create DMG from the stapled app, notarize DMG, staple DMG.
+- `Effekseer_cert.sh` signs bundled executables and `.dylib` files first, then signs the app bundle and the DMG.
+- If the app still shows the Gatekeeper warning, check whether the bundle was modified after signing or whether the quarantine attribute is still present.
+
+### Troubleshooting
+
+If the app cannot be opened on macOS, check these in order:
+
+```bash
+codesign --verify --deep --strict --verbose=4 "Effekseer/Effekseer.app"
+spctl -a -t exec -vv "Effekseer/Effekseer.app"
+xcrun stapler validate "Effekseer/Effekseer.app"
+xcrun stapler validate "Effekseer.dmg"
+xattr -lr "Effekseer/Effekseer.app"
+```
+
+What to look for:
+
+- `codesign` errors usually mean something changed after signing, or a bundled file was not signed correctly.
+- If notarization complains about a specific bundled executable such as `createdump`, the leaf binary likely kept an ad hoc or incomplete signature. Re-sign the leaf binary before the app bundle.
+- `spctl` failures usually mean Gatekeeper does not trust the bundle as distributed.
+- `stapler validate` failures usually mean the notarization ticket was not attached to the app or DMG.
+- `com.apple.quarantine` in `xattr` output means the file still has a downloaded/quarantined state.
+
+If the issue persists, check the Gatekeeper log:
+
+```bash
+log show --last 1h --predicate 'process == "syspolicyd"'
+```
 
 ## 日本語
 
@@ -78,11 +103,9 @@ Notes:
 ### ファイル
 
 - `Effekseer_cert.sh`
-  - アプリ本体と同梱バイナリにコード署名を行い、`Effekseer.dmg` を作成して `xcrun notarytool` で Notarization を申請します。
+  - 実行ビットが付いた同梱ファイルには app の entitlements を付けて署名し、`.dylib` は entitlements なしで署名します。その後でアプリ本体に署名し、`Effekseer.dmg` を作成して `xcrun notarytool` で Notarization を申請します。
 - `Effekseer_cert_check.sh`
   - Request ID を使って `xcrun notarytool` で Notarization の状況を確認します。
-- `Effekseer_cert_post.sh`
-  - `Effekseer.dmg` に notarization ticket を stapling します。
 - `entitlements.plist`
   - 署名時に使用する entitlements です。
 
@@ -113,11 +136,7 @@ sh Effekseer_cert.sh "Developer ID Application: Your Name (TEAMID)" "effekseer-n
 sh Effekseer_cert.sh "Developer ID Application: Your Name (TEAMID)" "my-notary-profile"
 ```
 
-Notarization が承認されたら、次を実行します。
-
-```bash
-sh Effekseer_cert_post.sh
-```
+`Effekseer_cert.sh` が、app の stapling から DMG の作成・stapling までをまとめて実行します。
 
 申請状況を確認したい場合は、次を使います。
 
@@ -135,5 +154,39 @@ sh Effekseer_notarytool_log.sh "Request ID" "effekseer-notarytool" "notarytool_l
 
 - スクリプトは `xcrun notarytool` と `xcrun stapler` を使用します。
 - `Effekseer_cert.sh` は、`Effekseer/` 配下にアプリ本体と関連ツールがすでに配置されていることを前提としています。
+- `notarytool` は `.app` 直送を受け付けないため、スクリプトは一時的に zip 化してから app を notarize し、終了後に削除します。
 - `Effekseer_notarytool_setup.sh` だけが App-specific password を扱い、その後はキーチェーン内の profile を再利用します。
 - `Effekseer_notarytool_log.sh` は、`notarytool submit` が拒否されたときの JSON 形式の issue report を確認するのに便利です。
+- `Effekseer_cert.sh` が失敗した場合、Request ID を取得できれば `Effekseer-app-notarytool-log.json` または `Effekseer-dmg-notarytool-log.json` にログを保存します。
+- `Effekseer_cert.sh` は、`app` を Notarization → staple → DMG 作成 → DMG Notarization → DMG staple の順で処理します。
+- `Effekseer_cert.sh` は、まず leaf バイナリを `--options runtime` と `--timestamp` 付きで署名し、その後に app bundle を署名します。
+- `Effekseer_cert.sh` は、`-perm -u+x -o -perm -g+x -o -perm -o+x` で拾える実行ビット付きファイルを署名対象にします。
+- `Effekseer_cert.sh` は、`Effekseer` のような Rosetta 下で動く leaf 実行ファイルに `com.apple.security.cs.allow-jit` などの entitlements を付けます。
+- 起動できない場合は、署名の破損、Gatekeeper の拒否、quarantine 属性の残存を順に確認してください。
+
+### 問題調査
+
+アプリが起動できないときは、次の順で調べると原因を絞りやすいです。
+
+```bash
+codesign --verify --deep --strict --verbose=4 "Effekseer/Effekseer.app"
+spctl -a -t exec -vv "Effekseer/Effekseer.app"
+xcrun stapler validate "Effekseer/Effekseer.app"
+xcrun stapler validate "Effekseer.dmg"
+xattr -lr "Effekseer/Effekseer.app"
+```
+
+見方:
+
+- `codesign` で失敗する場合は、署名後に中身が変わっているか、同梱ファイルの署名が不完全です。
+- `.NET` ベースの実行ファイルが起動直後に `EXC_BAD_ACCESS` で落ちる場合は、その実行ファイルに app entitlements が付いているか確認してください。`Effekseer` のような Rosetta 変換された leaf プロセスは、`allow-jit` などがないと起動時にクラッシュすることがあります。
+- `createdump` のような同梱バイナリで notarization が止まる場合は、leaf バイナリの署名が ad hoc のままか、Developer ID 署名・timestamp・hardened runtime のいずれかが不足しています。app bundle の前に leaf バイナリを再署名してください。
+- `spctl` で失敗する場合は、Gatekeeper が配布物を許可していません。
+- `stapler validate` で失敗する場合は、app または dmg に notarization ticket が付いていません。
+- `xattr` に `com.apple.quarantine` が残っている場合は、ダウンロード由来の quarantine が効いています。
+
+さらに詳しく見る場合は、Gatekeeper のログを確認します。
+
+```bash
+log show --last 1h --predicate 'process == "syspolicyd"'
+```
