▣ アプリ開発/2026-06-27上級

ローカルでは通る iOS ビルドが CI の TestFlight アップロードで署名拒否されるとき — match の証明書が静かにズレる原因と運用メモ

fastlane match を CI に載せると、ビルドは成功するのに TestFlight アップロードだけが署名エラーで落ちることがあります。証明書とプロファイルのズレを再現可能に診断し、readonly 運用と事前検証ゲートで止める手順を実機の挙動に沿って整理しました。

fastlane³ match iOS²⁵ コード署名 CI/CD¹⁵ TestFlight² App Store Connect²

✦ プレミアム記事

「ビルドは緑なのにアップロードだけ赤」を最初に見たとき

CI のログを眺めていて、いちばん混乱したのがこの状態でした。build_app は最後まで通り、.ipa も生成されている。それなのに直後の upload_to_testflight だけが署名関連のエラーで落ちる。ローカルの Mac で同じコミットをビルドすると何事もなく TestFlight まで届く。

手元で再現しないバグほど厄介なものはありません。個人開発でアプリのリリースを自分一人で回していると、署名の更新を後回しにしがちで、そのツケが CI 側にだけ出ることがあります。私はこのとき、Antigravity に CI のログと Fastfile、Matchfile を渡して「ビルドは成功して .ipa があるのにアップロードだけ署名で落ちる。考えられる原因を、ビルド時の署名とアップロード時の検証の差から順に挙げてほしい」と尋ねるところから始めました。手を動かす前に、症状を「ビルド署名」と「配信側の検証」という二つの段に切り分けてくれたことで、闇雲にやり直す時間をかなり節約できました。

この記事は、その切り分けの結果として残った運用メモです。fastlane match を使っていて、ローカルと CI で署名の挙動が食い違う方を想定しています。

症状の正体：ビルドと配信は別々の証明書を見ている

まず押さえておきたいのは、iOS の .ipa 生成と App Store Connect への配信が、別々のタイミングで別々のものを検証しているという点です。

ビルド時に Xcode が要求するのは「指定したプロビジョニングプロファイルが存在し、その中に対応する署名証明書（private key を含む）がキーチェーンにあること」です。ここさえ揃えば .ipa は作れます。

ところがアップロード時、App Store Connect 側は .ipa に埋め込まれたプロファイルと署名が、現在有効な証明書・登録済みデバイス・Bundle ID の権限と矛盾しないかを再検証します。ビルドが通っても、この再検証で弾かれることは普通に起こります。

match を絡めると、この二段構えに「Git リポジトリ上の証明書」という第三の真実が加わります。ローカルのキーチェーン、CI ランナーの一時キーチェーン、match の Git リポジトリ——この三つがすべて同じ証明書を指していれば問題ありませんが、どれか一つでもズレると、ビルドは古い証明書で成功し、アップロードは新しい権限で弾かれる、という非対称が生まれます。これが「署名ドリフト」の中身です。

代表的なズレ方を整理しておきます。

ズレの発生源	典型的な引き金	ビルド	アップロード
match の証明書が再生成された	誰かがローカルで `match nuke` / `match --force` を実行	古い証明書で成功	失効済み証明書として拒否
証明書の有効期限切れ	Apple Distribution 証明書の1年経過	キャッシュで成功することがある	拒否
プロファイルと証明書の不一致	Extension を追加したが match を再同期していない	メインのみ成功	Extension の署名欠落で拒否
CI のキーチェーンに証明書が入っていない	`readonly: true` で取得した証明書をキーチェーンに import し損ねた	失敗（手前で落ちる）	到達せず

注目したいのは上の二行です。ビルドは成功するのにアップロードで落ちるのは、ローカルや CI のキーチェーンに残った古い・期限切れの証明書でビルドが成立してしまうからです。再現しないのではなく、「再現する環境の証明書だけが古い」という状態でした。

✦

ここまでお読みいただきありがとうございます。

この記事の続きを読む

この先には、実装コードやベンチマーク結果など、実務でお役に立てる内容をご用意しています。このサイトは広告を掲載しておらず、サーバーや開発にかかる費用はメンバーの皆様のご支援で成り立っています。もしお役に立てていましたら、ご支援いただけますと大変ありがたいです。

この記事で得られること

✦ビルド成功とアップロード失敗が同居する『署名ドリフト』の発生条件と、どの証明書・プロファイルが実際に埋め込まれたかを特定する手順

✦CI で match を readonly 運用し、証明書再生成による既存ビルドの一斉失効を防ぐ Fastfile / GitHub Actions の具体設定

✦アップロード前に .ipa 内の embedded.mobileprovision と署名証明書の有効期限を検査し、不一致なら止める事前ゲートの実装

Stripe による安全な決済 · いつでもキャンセル可能

✦

この記事を購入する

この先の内容をすべてお読みいただけます。一度のご購入で、いつでも何度でもアクセスできます。このサイトは広告を掲載しておらず、皆さまのご支援がサーバー費用などの運営を支えています。

または

メンバーシップなら全記事が読み放題 →

Step 1：実際に何で署名されたかを突き止める

原因の議論を始める前に、生成された .ipa が事実としてどの証明書・どのプロファイルで署名されたかを確認します。推測ではなく、ファイルから読み出します。

# .ipa を展開して埋め込みプロファイルを取り出す
unzip -o MyApp.ipa -d /tmp/ipa_inspect >/dev/null
PROFILE="/tmp/ipa_inspect/Payload/MyApp.app/embedded.mobileprovision"
 
# プロファイルの中身（plist）を読む
security cms -D -i "$PROFILE" > /tmp/profile.plist
 
# プロファイル名・UUID・有効期限・含まれる証明書を確認
/usr/libexec/PlistBuddy -c "Print :Name" /tmp/profile.plist
/usr/libexec/PlistBuddy -c "Print :UUID" /tmp/profile.plist
/usr/libexec/PlistBuddy -c "Print :ExpirationDate" /tmp/profile.plist

署名に使われた証明書そのものは codesign で確認できます。

# 実際にバイナリを署名している証明書の Common Name と有効期限
codesign -dvvv "/tmp/ipa_inspect/Payload/MyApp.app" 2>&1 | grep -E "Authority|Signed Time"

ここで出てくる証明書の Common Name（例：Apple Distribution: Your Company (XXXXXXXXXX)）と、App Store Connect 上で「有効」になっている証明書を突き合わせます。CI で生成した .ipa の証明書だけが、Apple 側で失効扱いになっていれば、それが答えです。

私は最初これを目視でやっていましたが、毎回プロファイルを展開するのは面倒なので、後述の事前ゲートに組み込んで自動化しました。

Step 2：CI では match を必ず readonly で動かす

署名ドリフトの最大の発生源は、CI が証明書を勝手に作り直すことです。match は対象の証明書が見つからないと、デフォルトでは新規に発行しようとします。CI が新しい証明書を発行すると、Apple の証明書枠（Distribution は2枚まで）を圧迫し、古い証明書を revoke することすらあります。そうなると、その古い証明書で署名済みの既存ビルドが一斉に無効化されます。

これを防ぐ原則はひとつです。証明書の発行・更新はローカルでのみ行い、CI は読み取りに徹する。

# fastlane/Fastfile
platform :ios do
  desc "証明書とプロファイルを同期（CIは読み取り専用）"
  lane :sync_signing do
    match(
      type: "appstore",
      app_identifier: [
        "com.yourcompany.yourapp",
        "com.yourcompany.yourapp.widget"
      ],
      readonly: is_ci,          # CI では絶対に新規発行させない
      keychain_name: ENV["MATCH_KEYCHAIN_NAME"],
      keychain_password: ENV["MATCH_KEYCHAIN_PASSWORD"]
    )
  end
end

readonly: is_ci がこの記事でいちばん重要な一行です。is_ci は fastlane が CI 環境を自動判定するヘルパーで、ローカルでは false、CI では true になります。CI で証明書が見つからなければ、新規発行ではなく素直に失敗してほしい——その失敗こそが「ローカルで match を更新し直せ」という正しいシグナルだからです。

証明書を更新するときは、ローカルで明示的に実行します。

# ローカルでのみ：新しい証明書/プロファイルを発行して match リポジトリに保存
bundle exec fastlane match appstore
# Extension も忘れずに同期（Bundle ID をすべて列挙）

Step 3：認証は API キーに寄せ、Apple ID パスワードを CI から外す

もう一つのドリフト源が、CI 上の Apple アカウント認証です。Apple ID とパスワード（および 2FA）で認証する方式は、セッションが切れるたびに挙動が変わり、再現性を損ないます。CI では App Store Connect API キーに統一することを推奨します。署名まわりの不確定要素がはっきり減ります。

# fastlane/Fastfile
platform :ios do
  before_all do
    # API キーを一度だけロードして以降の全 lane で共有
    app_store_connect_api_key(
      key_id: ENV["ASC_KEY_ID"],
      issuer_id: ENV["ASC_ISSUER_ID"],
      key_content: ENV["ASC_KEY_CONTENT"],  # .p8 の中身を base64 ではなく素のまま環境変数へ
      is_key_content_base64: false,
      in_house: false
    )
  end
end

API キーを before_all で読み込んでおくと、match・upload_to_testflight・latest_testflight_build_number などが同じ認証情報を再利用します。アップロード段だけ別認証になって落ちる、という事故も避けられます。

match の Git リポジトリ自体へのアクセスも、CI ではデプロイキーか短命トークンで read-only に絞ります。書き込み権限を CI に渡さないことが、そのまま「CI が証明書を書き換えられない」保証になります。

Step 4：アップロード前に署名を検査する事前ゲート

ここまでは予防策ですが、それでもドリフトは起こります。最後の砦として、ビルドとアップロードの間に検査ステップを挟み、署名が要件を満たさなければアップロードに進ませないようにします。Antigravity に「.ipa の embedded プロファイルと署名証明書の有効期限を読み、期限切れか Bundle ID 不一致なら exit 1 で止めるスクリプトを書いてほしい」と頼んで作った検証を、fastlane のカスタムアクションに落とし込みました。

# fastlane/actions/verify_signing_action.rb
module Fastlane
  module Actions
    class VerifySigningAction < Action
      def self.run(params)
        ipa = params[:ipa_path]
        expected_ids = params[:app_identifiers]
 
        Dir.mktmpdir do |dir|
          sh("unzip -o #{ipa.shellescape} -d #{dir} >/dev/null")
          app = Dir.glob("#{dir}/Payload/*.app").first
          UI.user_error!("アプリ本体が見つかりません") unless app
 
          profile = "#{app}/embedded.mobileprovision"
          plist = sh("security cms -D -i #{profile.shellescape}")
 
          # 有効期限のチェック
          require "time"
          exp = plist[/<key>ExpirationDate<\/key>\s*<date>(.*?)<\/date>/m, 1]
          if exp && Time.parse(exp) < Time.now + 7 * 24 * 3600
            UI.user_error!("プロファイルの期限が7日以内に切れます: #{exp}。ローカルで match を更新してください")
          end
 
          # Bundle ID のチェック（application-identifier から team prefix を除去して比較）
          app_id = plist[/<key>application-identifier<\/key>\s*<string>(.*?)<\/string>/m, 1]
          bundle = app_id.to_s.sub(/^[A-Z0-9]+\./, "")
          unless expected_ids.include?(bundle)
            UI.user_error!("署名された Bundle ID (#{bundle}) が期待値 #{expected_ids} と一致しません")
          end
 
          UI.success("署名検証 OK: #{bundle} / 期限 #{exp}")
        end
      end
 
      def self.available_options
        [
          FastlaneCore::ConfigItem.new(key: :ipa_path, type: String),
          FastlaneCore::ConfigItem.new(key: :app_identifiers, type: Array)
        ]
      end
 
      def self.is_supported?(platform)
        platform == :ios
      end
    end
  end
end

これを release レーンに差し込みます。

lane :release do
  sync_signing
  build_app(scheme: "MyApp", export_method: "app-store")
 
  # ★ アップロード前の関所：ここで止まれば既存ビルドを巻き込まずに済む
  verify_signing(
    ipa_path: lane_context[SharedValues::IPA_OUTPUT_PATH],
    app_identifiers: ["com.yourcompany.yourapp", "com.yourcompany.yourapp.widget"]
  )
 
  upload_to_testflight(skip_waiting_for_build_processing: true)
end

この関所の効用は、失敗をアップロードの手前に前倒しすることにあります。App Store Connect に弾かれてから原因を探るのと、ローカルの検証ステップで「期限が近い」と明示されるのとでは、対応のしやすさがまるで違います。私はこの一段を入れてから、「なぜか今日だけアップロードできない」という当日の慌ただしさがなくなりました。

Step 5：GitHub Actions 側でキーチェーンを毎回作り直す

CI ランナーが使い回しのマシンだと、前回ジョブの証明書がキーチェーンに残り、それが古い証明書としてビルドに使われることがあります。ランナーがクリーンでも、match が import 先に既定キーチェーンを使うと、ジョブ間で状態が漏れます。対策は、ジョブごとに専用の一時キーチェーンを作り、終了時に必ず破棄することです。

# .github/workflows/ios-release.yml
name: iOS Release
on:
  workflow_dispatch:
 
jobs:
  release:
    runs-on: macos-15
    steps:
      - uses: actions/checkout@v4
 
      - name: Create a clean temporary keychain
        env:
          KC_PW: ${{ secrets.MATCH_KEYCHAIN_PASSWORD }}
        run: |
          KC="$RUNNER_TEMP/app-signing.keychain-db"
          security create-keychain -p "$KC_PW" "$KC"
          security set-keychain-settings -lut 21600 "$KC"
          security unlock-keychain -p "$KC_PW" "$KC"
          security list-keychains -d user -s "$KC" login.keychain-db
          echo "MATCH_KEYCHAIN_NAME=$KC" >> "$GITHUB_ENV"
 
      - uses: ruby/setup-ruby@v1
        with:
          bundler-cache: true
 
      - name: Build and upload
        env:
          ASC_KEY_ID: ${{ secrets.ASC_KEY_ID }}
          ASC_ISSUER_ID: ${{ secrets.ASC_ISSUER_ID }}
          ASC_KEY_CONTENT: ${{ secrets.ASC_KEY_CONTENT }}
          MATCH_PASSWORD: ${{ secrets.MATCH_PASSWORD }}
          MATCH_KEYCHAIN_PASSWORD: ${{ secrets.MATCH_KEYCHAIN_PASSWORD }}
          MATCH_GIT_BASIC_AUTHORIZATION: ${{ secrets.MATCH_GIT_TOKEN }}
        run: bundle exec fastlane ios release
 
      - name: Always destroy the keychain
        if: always()
        run: security delete-keychain "$RUNNER_TEMP/app-signing.keychain-db" || true

ポイントは set-keychain-settings -lut 21600 でロック時間を延ばしておくことと、最後の if: always() でジョブが失敗してもキーチェーンを消すことです。証明書の痕跡を次のジョブに持ち越さないだけで、「前回は通ったのに今回は署名で落ちる」という非決定的な失敗の多くが消えます。

つまずいたときの最短の確認順

ドリフトを疑ったときに、私が毎回たどる順序を残しておきます。上から順に潰すと、たいてい数分で原因にたどり着けます。

順	確認	コマンド / 見る場所
1	埋め込み証明書の有効期限	`codesign -dvvv App.app` の Authority と署名時刻
2	Apple 側で証明書が有効か	App Store Connect → Certificates の一覧と突合
3	match リポジトリの証明書世代	証明書リポジトリの最終コミット日時
4	CI が readonly か	Fastfile の `readonly: is_ci`
5	Extension のプロファイル欠落	埋め込みプロファイルに全 Bundle ID が揃っているか

経験上、原因の大半は 1 と 3 の組み合わせ、つまり「誰かがローカルで証明書を作り直したのに、CI のキャッシュは古いまま」に行き着きます。

この設計で何が変わったか

署名ドリフトは、本番運用で完全に根絶しようとすると沼にはまります。再現しない不具合への対処は、原因の特定そのものより、被害範囲を絞ることのほうが現実的です。証明書は人間が更新するものである以上、ズレは時々起こります。だからこの運用メモが狙っているのは「ゼロにする」ことではなく、ズレたときに、既存ビルドを巻き込まず、アップロードの手前で静かに止めることです。

CI を readonly に固定し、認証を API キーに寄せ、アップロード前に署名を検査する。この三つを入れておけば、失敗は「リリース当日の事故」ではなく「ローカルで match を更新するだけの定例作業」に格下げできます。リリース作業そのものより、その作業が再現可能であることのほうが、長く運用するうえでは効いてきます。

次に試すなら、Step 4 の検証アクションをまず一つだけ入れてみてください。アップロード前の関所が一段あるだけで、署名まわりの不安はかなり軽くなります。