文章目录
- 1、Android 源码中的编译
- 1) 系统中默认的四种签名
- 2、工具对apk进行签名
- 3.生成系统签名.jks文件并对Apk进行签名
- 4.查看签名
1、Android 源码中的编译
1) 系统中默认的四种签名
(1) testkey : 普通 APK ,默认情况下使用
(2) platform : 该APK 完成一些系统的核心的功能,经过对系统存在的文件夹访问测试,这种方式编译出来的 APK 所在的进程 为syatem.
(3) shared : 该APK需要和 home/contacts 进程共享数据。
(4) media : 该APK 是media/download 系统中的一环。
应用程序中的Android.mk 中有一个 LOCAL_CERTIFICATE 字段,由它指定用哪个key签名,未指定的默认用testkey.
系统默认的四种签名类型文件的位置:
ls
media.pk8 platform.pk8 README shared.pk8 testkey.pk8
media.x509.pem platform.x509.pem shared.x509.pem testkey.x509.pem
2、工具对apk进行签名
工作中有时会遇到一些apk签名不同,导致无法安装的问题。
场景一:
有一个第三方apk(具有系统权限),无法安装在我们自己的Android机器上,提示以下错误,导致无法安装。
这是由于该APK具有系统权限,而系统签名与我们的Android设备系统签名不一致。Android检测到系统签名不一致,由于安全因素考虑,就阻止安装了。解决方法:使用自己的Android签名工具给apk重新签名。
(1) Android的签名文件存放于系统源码的 build/target/product/security/目录下
该目录下有 media.pk8、media.x509.pem、platform.pk8、platform.x509.pem、shared.pk8、shared.x509.pem、testkey.pk8、testkey.x509.pem等签名文件,不同的签名文件,对应不同的权限。Android默认的签名文件为testkey.pk8、testkey.x509.pem。
(2) Android自带的签名工具为 signapk.jar, 可以在源码编译目录out中找到,具体路径为:out/host/linux-x86/framework/signapk.jar 以上APK具有系统权限,重新签名应该使用platform签名文件进行签名。
签名方法:将对应权限的签名文件platform.pk8、platform.x509.pem, 签名工具 signapk.jar, 以及需要签名的apk(假设 old.apk) 放到同一目录下,打开linux终端(windows cmd也可以),进入该目录,进行重新签名:
java -jar signapk.jar platform.x509.pem platform.pk8 old.apk new.apk
重新生成的new.apk就可以安装在我们的Android设备上了。3.生成系统签名.jks文件并对Apk进行签名
生成.jks签名文件
在源码中进入到/build/target/product/security目录,输入以下命令:
cd build/target/product/security/
// 1.生成 platform.pem
openssl pkcs8 -inform DER -nocrypt -in platform.pk8 -out platform.pem
// 2.生成 platform.p12
// 别名:systemkey
// 密码:123456
openssl pkcs12 -export -in platform.x509.pem -out platform.p12 -inkey platform.pem -password pass:123456 -name systemkey
// 3.生成 platform.jks文件
keytool -importkeystore -deststorepass 123456 -destkeystore ./platform.jks -srckeystore ./platform.p12 -srcstoretype PKCS12 -srcstorepass 123456输入第三条命令会提示让你输入源密钥库口令: 直接输入123456
正在将密钥库 ./platform.p12 导入到 ./platform.jks...
输入源密钥库口令:
已成功导入别名 systemkey 的条目。
已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消
Warning:
<systemkey> uses the MD5withRSA signature algorithm which is considered a security risk and is disabled.
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore ./platform.jks -destkeystore ./platform.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。上面已完成导入命令行表明.jks文件制作成功了,根据建议的命令迁移到行业标准格式
keytool -importkeystore -srckeystore ./platform.jks -destkeystore ./platform.jks -deststoretype pkcs12
输入源密钥库口令:
已成功导入别名 systemkey 的条目。
已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消
Warning:
<systemkey> uses the MD5withRSA signature algorithm which is considered a security risk and is disabled.
已将 "./platform.jks" 迁移到 Non JKS/JCEKS。将 JKS 密钥库作为 "./platform.jks.old" 进行了备份。同目录下会生成platform.pem,platform.p12,platform.jks,platform.jks.old
使用命令查看.jks文件
keytool -list -v -keystore platform.jks
输入密钥库口令:
密钥库类型: PKCS12
密钥库提供方: SUN
您的密钥库包含 1 个条目
别名: systemkey
创建日期: 2023-6-20
条目类型: PrivateKeyEntry
证书链长度: 1
证书[1]:
所有者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
发布者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
序列号: b3998086d056cffa
有效期为 Wed Apr 16 06:40:50 CST 2008 至 Sun Sep 02 06:40:50 CST 2035
证书指纹:
MD5: 27:19:6E:38:6B:87:5E:76:AD:F7:00:E7:EA:84:E4:C6:EE:E3:3D:FA
SHA1: C8:A2:E9:BC:CF:59:7C:2F:B6:DC:66:BE:E2:93:FC:13:F2:FC:47:EC:77:BC:6B:2B:0D:52:C1:1F:51:19:2A:B8
SHA256: MD5withRSA (disabled)
签名算法名称: 2048 位 RSA 密钥
主体公共密钥算法: 3
版本: {10}
扩展:
#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 4F E4 A0 B3 DD 9C BA 29 F7 1D 72 87 C4 E7 C3 8F O......)..r.....
0010: 20 86 C2 99 ...
]
[EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US]
SerialNumber: [ b3998086 d056cffa]
]
#2: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 4F E4 A0 B3 DD 9C BA 29 F7 1D 72 87 C4 E7 C3 8F O......)..r.....
0010: 20 86 C2 99 ...
]
]Studio引用platform.jks
app目录下新建key目录,将platform.jks放到key目录下
在build.gradle下添加如下内容:
android {
...
signingConfigs {
release {
storeFile file("/key/platform.jks")
keyAlias "systemkey"
keyPassword "123456"
storePassword "123456"
}
}
buildTypes {
release {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
signingConfig signingConfigs.release
}
debug {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
signingConfig signingConfigs.release
}
}
}使用platform.jks手动签名APK
将你的Apk文件和platform.jks复制到你的/sdk/build-tools/30.0.2目录下
// 1.Zipalign 优化 APK
D:\Studio\sdk\build-tools\30.0.2>zipalign -f -v 4 target.apk sign.apk
// 2.签名APK
D:\Studio\sdk\build-tools\30.0.2>apksigner sign --ks platform.jks --ks-key-alias systemkey sign.apk这样就得到签名后应用sign.apk
注意: 对应用进行系统签名需要应用的AndroidManifest.xml中有添加android:sharedUserId=“android.uid.system”
使用命令查看APK文件签名信息
> keytool -printcert -jarfile sign.apk
签名者 #1:
签名:
所有者: EMAILADDRESS=android@android.com, CN=android, OU=android, O=android, L=Mountain View, ST=California, C=US
发布者: EMAILADDRESS=android@android.com, CN=android, OU=android, O=android, L=Mountain View, ST=California, C=US
序列号: 32aec6361322ef35697e6d76a2b65319be7b2d5c
有效期开始日期: Thu Aug 24 20:51:23 CST 2023, 截止日期: Mon Jan 09 20:51:23 CST 2051
证书指纹:
MD5: 96:5F:61:D7:DB:61:84:25:CD:6A:5B:C0:E1:3F:BA:6F
SHA1: FA:FE:E5:F9:09:7C:ED:A3:67:39:B0:BC:DC:36:C8:F8:DE:D6:23:9F
SHA256: 6A:A5:D2:29:1D:18:E6:28:D1:29:70:34:A9:3A:29:D0:A7:B6:DC:B8:57:85:2F:BA:41:85:2B:D1:0F:5D:47:86
签名算法名称: SHA256withRSA
版本: 3
扩展:
#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 00 4E 32 24 3D B6 55 3E 35 D8 48 47 1E 5A CA 44 .N2$=.U>5.HG.Z.D
0010: F8 C1 12 2E ....
]
]
#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 00 4E 32 24 3D B6 55 3E 35 D8 48 47 1E 5A CA 44 .N2$=.U>5.HG.Z.D
0010: F8 C1 12 2E ....
]
]4.查看签名
jarsigner -verify -verbose -certs app2.apk
或者
apksigner verify --verbose --print-certs app2.apk
