虚拟主机

当前位置:  首页 >  常见问题 >  android数字签名总结

android数字签名总结

来源:景安网络

作者:网络

更新时间:2016-02-25 15:25

景安网络—专业的多线服务器托管商!提供快云服务器,快云VPS,虚拟主机,域名注册,网站空间,服务器托管,服务器租用,SSL证书。快云vps 1核1G1M,199元/首年,活动进行中!查看详情

    一、为什么要签名
 
    Android开发的人这么多,开发人员在进行开发的过程中,很有可能都把类名,包名起成了一个同样的名字,这个时候该如何区分?签名在这个时候起到了非常重要的作用了。
 
    由于开发商可能通过使用相同的Package Name来混淆替换已经安装的程序,签名可以保证相当名字,但是签名不同的包不被替换。
 
    APK如果使用一个key签名,发布时另一个key签名的文件将无法安装或覆盖老的版本,这样可以防止你已安装的应用被恶意的第三方覆盖或替换掉。
 
    这样签名其实也是开发者的身份标识。交易中抵赖等事情发生时,签名可以防止抵赖的发生。
 
    二、签名的注意事项
 
    Android系统要求所有的程序经过数字签名才能安装,如果没有可用的数字签名,系统将不许安装运行此程序。不管是模拟器还是真实手机。因此,在设备或者是模拟器上运行调试程序之前,必须为应用程序设置数字签名。
 
    Android签名的数字证书不需要权威机构来认证,是开发者自己产生的数字证书,即所谓的自签名。数字证书用来标识应用程序的作者和在应用程序之间建立信任关系,而不是用来决定最终用户可以安装哪些应用程序。
 
    系统仅仅会在安装的时候测试签名证书的有效期,如果应用程序的签名是在安装之后才到期,那么应用程序仍然可以正常启用。
 
    可以使用标准工具-Keytool and Jarsigner-生成密钥,来签名应用程序的.apk文件。
 
    签名后需使用zipalign优化程序。
 
    模拟器开发环境,开发时通过ADB接口上传的程序会先自动被签有Debug权限,然后才传递到模拟器。Eclipse菜单的Window -> Preferences -> Android –> Build 下显示的是我们默认的调试用的签名数字证书。
 
    正式发布一个Android应用时,必须使用一个合适的私钥生成的数字证书来给程序签名,不能使用ADT插件或者ANT工具生成的调试证书来发布。
 
    三、签名方法:
 
    1.使用Keytool 和jarsigner工具签名(在jdk/bin目录下)
 
    1.生成签名keystore:
 
    确保电脑上安装了JDK,因为我们将使用JDK自带的创建和管理数字证书的工具Keytool。在命令行下输入如下命令:
 
    keytool -genkey -v -keystore app.keystore -alias alias_name -keyalg RSA -validity       20000
 
    -alias 后面跟的是别名这里是alias_name

    -keyalg 是加密方式这里是RSA

    -validity 是有效期这里是20000

    -keystore 是要生成的keystore的名称这里是app.keystore     
     
    然后按回车键

    按回车后首先会提示你输入的密码:这个在签名时要用的,要记住

    然后会再确认你的密码。

    之后会依次叫你输入姓名、组织单位、组织名称、城市区域、省份名称、国家代码(CN)等。
 
    Keytool的详细参数请参考:
 
    http://www.android123.com.cn/androidkaifa/173.html
 
    2.签名:
 
    jarsigner -verbose -keystore app.keystore -signedjar app_signed.apk app.apk alias_name

    -keystore: keystore的名称

    -signedjar  app_signed.apk: 指定签名后生成的APK名称

    app.apk: 目标APK

    然后按回车:会要求输入刚才设置的密码,输入后按回车开始签名了。
 
 
    3.查看签名:
 
    jarsigner -verify app_signed.apk                                 
 
    查看是否签名,如果已经签名会打印 "jar verified".
 
    jarsigner -verify -verbose -certs app_signed.apk     
 
    查看签名详细信息。
 
    4.通过zipalign工具进行优化apk(android自带的工具,./build/tools/zipalign)
 
    zipalign -v 4  app_signed.apk androidres.apk   对apk优化
 
    zipalign -c -v 4  androidres.apk                 查看apk是否经过优化
 
    2.使用eclipse ADT工具签名
    在Package Explorer 窗口,右键,选择Android Tools--->Export Signed Application Package 然后按照提示一步一步,生成已签名的apk。通过eclipse也可以导出未签名的APK文件。
 
    注:需要输入两次密码,次是私钥密码,第二次时私钥别名的密码。
 
    3.eclipse在debug模式下自动签名(无须手动配置):
 
    在debug模式下用eclipse 的ADT为android签名,只要应用程序在eclipse下开发,系统会自动给apk签名和优化。
 
    在Eclipse中Windows > Preferences > Android  > Build可以看到你keysotre的位置;
 
    四、生成Android系统签名
 
    上面讲的Android数字签名大多是与Android APK相关,做CTS 认证时,需要用到Android系统签名。为什么需要给Android系统签个名才能进行CTS认证呢?原来我们通过make -j4编译出来的system.img使用的是test key,这种类型的key只适用于开发阶段,而且这种秘钥是公开的,谁都可以使用。当发布一款android产品,需要另外给整个系统签个名,防止被别人盗用。这种系统是release版本的Android系统。
 
    1、生成加密key文件
 
    要对Android系统进行签名,需要生成四种类型的key文件。
 
    a)releasekey (testkey)
 
    b)media
 
    c)shared
 
    d)platform
 
    1)进入/android_src/development/tools目录。
 
    2)使用make_key工具生成签名文件。需要分别生成 releasekey,media,shared,platform。
 
    ./make_key releasekey '/C=CN/ST=JiangSu/L=NanJing/O=Company/OU=Department/CN=Your Name/emailAddress=YourE-mailAddress'   (系统将会提示输入针对各种key的密码,按照提示输入即可)
 
    将会生成 releasekey.pk8 和 releasekey.x509.pem文件,其中 *.pk8是生成的私钥,而*.x509.pem是公钥,生成时两者是成对出现的.
 
    注:如果出现 openssl : relocation error :openssl : symbol ...尝试用 sudo 执行命令,问题解决了!
 
    2.回到根目录android_src。
 
    命令执行的时候都在工程的根目录下执行,要不然脚本用到的某些文件找不到的。
 
    3.编译系统
 
    make -j4 PRODUCT-generic-user dist 
 
    其中generic 表示生成的TARGET_PRODUCT类型为generic,
 
    user代表TARGET_BUILD_VARIANT为user版本。
 
    编译完成之后回在android_src/dist/目录内生成个product_generic-user_files开头的zip文件.这是我们需要进行签名的文件系统.
 
    4.开始签名
 
    ./build/tools/releasetools/sign_target_files_apks -d key_directory/ out/dist/product_modul-target_files.zip  out/dist/signed_target_files.zip
 
    通过sign_target_files_apks 脚本,完成android系统的签名工作.
 
    key_directory/ 表示key所在的目录。
 
    out/dist/product_modul-target_files.zip   源文件。
 
    out/dist/signed_target_files.zip   生成签名的目标文件。
 
    可能会出现:
 
    ERROR: no key specified for:

    CalendarWidget.apk

    Contacts_yellowpage.apk

    SnsAppMain.apk
 
    这表示,签名并没有成功,原因是由于有些apk程序已经签过名了或者找不到对应的key. 这需要我们对apk设置过滤,不对上面的应用进行签名.方法如下:
 
    通过参数"-e <apkname>=" 来过滤这些应用.
 
    ./build/tools/releasetools/sign_target_files_apks -d key_directory/  -e  CalendarWidget.apk= -e Contacts_yellowpage.apk= -e SnsAppMain.apk= -e         out/dist/product_modul-target_files.zip  out/dist/signed_target_files.zip
 
    输入该命令时会提示输入key的密码,会出现四次密码输入提示。分别为四种类型的key的密码。
 
    5.生成image文件
 
    ./build/tools/releasetools/img_from_target_files  out/dist/signed-target-files.zip  signed-img.zip
 
    用img_from_target_files 命令对生成的igned-target-files.zip文件进行打包,signed-img.zip包含了boot.img,userdate.img,system.img文件等.
 
    6.通过fastboot下载signed-img.zip文件
 
    fastboot update signed-img.zip
 
    通过fastboot可以把签了名的系统文件烧到手机上了。
 
    五、常见问题:
 
    1.make_key 和Keytool两种方式生成的key有何区别:
 
    Keytool 位于%JAVA_HOME%/bin目录下,用于管理密钥、证书和证书链。JavaSE6中的Keytool已经改变,还可以用来管理对称加密算法中的密钥。它生成的mykey.keystore包括公钥、私钥和证书。
 
    make_key 位于source_src/development/tools 目录下,通过调用openssh生成公钥和私钥,所以生成*.x509.pem和*.pk8的密钥对。
 
    2.用make_key生成的密钥对,对apk进行手动签名:
 
    通过signapk.jar 工具对apk签名,用法:signapk [-w] publickey.x509[.pem] privatekey.pk8 input.jar output.jar
 
    java -jar out/host/linux-x86/framework/signapk.jar  releasekey.x509.pem releasekey.pk8    source.zip  source-signed.zip 
 
    signapk.jar可以自己编译,源码在build/tools/signapk目录下。
 
     3.android源码编译make 时,对所有应用签名规则:
 
    系统在编译的时候,读取build/core/package.mk文件,根据LOCAL_CERTIFICATE的值在build/target/product/security/目录下选择相应的签名。   LOCAL_CERTIFICATE值从各应用的Android.mk文件中读取,如果Android.mk文件中没有该属性,则默认为testkey。
 
    六、常见异常处理方法
 
    1.如果遇到了ZipException invalid entry compressed size的错误方法
 
    主要原因是平时Eclipse使用的ADT插件已经赋予了DEBUG权限的数字签名,我们可以通过导出一个未签名的APK文件可以解决。
 
    2.使用jarsigner工具来签名,出现无法对jar 进行签名:java.util.zip.ZipException: invalid entry compressed size (expected xxx but got xxx bytes)这样的提示。
 
    这些问题主要是由于资源文件造成的,对于android开发来说应该检查res文件夹中的文件,逐个排查。这个问题可以通过升级系统的JDK和JRE版本来解决。
 
    3.安装apk过程中出现:INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES。
 
    这样的问题主要是签名冲突造成的,比如你使用了ADB的debug权限签名,但后来使用标准sign签名后再安装同一个文件会出现这样的错误提示,解决的方法只有先老老实实从手机上卸载原有版本再进行安装,而adb install -r参数也无法解决这个问题。



本文链接:https://ssl.zzidc.com/changjianwenti/2016/0225/352.html

关键字:android数字签名

若无特别注明,文章皆为景安网络原创,转载请注明出处。

上云HI购
 
返回顶部

联系我们

SSL产品
24小时客服热线:

4006-598-598

0371-9618961