Sebbene sia possibile firmare l'installer con il certificato Thawte, è quasi inutile farlo.
L'intero punto in cui firma il tuo .pkg è che verrà accettato da GateKeeper. Gatekeeper accetta solo pacchetti firmati da un certificato emesso da Apple. Se desideri sottoscrivere Mac OS (binari e / o pacchetti), devi ottenere un account sviluppatore ($ 99 all'anno se non ne hai già uno) e utilizzare il certificato appropriato fornito da Apple come parte dello sviluppatore programma.
link
Apple fornisce due diversi certificati: uno per firmare i binari e uno per firmare i pacchetti di installazione. Dovrai utilizzare quello giusto.
Infine, se è necessario creare un driver del kernel per MacOS (relativamente raro), è necessario ottenere un diritto al kernel aggiunto al certificato e firmare con il certificato abilitato per il kernel prima che il kext venga accettato dai kernel recenti.
link