本帖最后由 王旭东 于 2015-1-8 10:50 编辑
曾听同事说起,两位同事同时使用同一台Android设备,而工程包名相同时,会发生无法安装的情况。这些情况和Android签名有关。所以研究下相关知识。
0.背景知识: Android系统要求所有的APK均有签名,否则无法安装。 Android使用证书作为标识应用程序作者的一种方式, 并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名: 完全可以使用自签名证书。但在开发过程中,很多时候并未意识到需要有签名。因为在测试和Debug过程中,Build tools 会帮你给APK加上一个特殊的签名。这个签名由Android SDK buildtools生成。当程序需要Release时,则必须使用私有的签名。此时不能够再使用由Build Tools 产生的Debug Key来签名。
Android 签名机制有什么目的呢, 首先,由于恶意开发者可能通过使用相同的Package Name来混淆替换已经安装的程序,签名可以保证相当名字,但是签名不同的包不被替换。 其次,一些特别的权力需要验证时会使用签名。例如需要让APK具有系统权限。则意味着不光需要在manifest节点中增加android:sharedUserId="android.uid.system"。同时还需要使用目标系统签名。
Build模式有两种:Debug模式和Release模式。 在Debug模式, Build Tools 使用Keytool utility (included in the JDK) 来创建一个Debugkey. 会自动为APK文件添加Debug签名。在Release模式下,你必须使用私有的Key来为APK签名。私有Key可以用Keytoolutility来生成。
DebugKey 有效期为一年,一年后会出问题,但如果删除Debug Key,buildTools会再产生一个。 删除方法为:rm -rf ~/.android/debug.keystore
过期信息: debug: [echo] Packaging bin/samples-debug.apk,and signing it with a debug key... [exec] Debug Certificate expired on 8/4/083:43 PM
1. 生成私有Key: JDK的bin目录下有个工具keytool,用来生成keystore. $sudo keytool -genkey -alias android.keystore -keyalg RSA -validity20000 -keystore android.keystore 下面会问很多问题,最终生成私有的密钥。其中密码要记住。后面要用到。 生成的Keystore在本目录内。
keytool使用说明见注1。
2. 生成可发布Release版本APK的方法: 2.1: 方法一: 2.1.1:可以首先生成无签名Release版本APK: 在Eclipse内,右击项目名称。 Android Tools -> export Unsigned application package 生成无签名包。 2.1.2: 利用jarsigner 给APK签名: jarsigner-verbose-sigalgSHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore
my_application.apk alias_name
2.2: 方法二: 直接使用私有Keystore生成带有签名的APK: 在Eclipse内,右击项目名称。 Android Tools -> export signed application package 后面会要求选择Android.Keystore.输入密码等。 最终就会生成带有私有签名的APK文件。
3. APK使用系统权限的理由和方法: 一些APK在使用中,需要拥有系统权限,比如修改系统时间等。另外,还有一种需要系统权限的情况是:需要访问Linux device. 而这些device的创建者是system. 访问权限是:660。(这是Sam当前的需求)
APK得到系统权限,有两种方法(但都需要Android编译时本身的系统签名文件): 方法一: 1. 在Android Elcipse工程中,在AndroidManifest.xml 中,添加: android:sharedUserId="android.uid.system">
例如: package="com.android.settings" coreApp="true" android:sharedUserId="android.uid.system">
2. 导出未签名的APK包: 右击工程,Android Tools -> Export Unsigned Application Package... 生成一个未签名的APK。这个APK无法安装的。
3. 利用工具加入系统签名: 首先,第一步,要有目标Android平台的公钥文件和私钥文件。 他们显然存放在Android代码树中,具体目录为: android/build/target/product/security 私钥文件:platform.pk8 公钥文件:platform.x509.pem
java-jar signapk.jar platform.x509.pem platform.pk8old.apknew.apk
这样则生成一个签名和目标系统完全一致的APK文件。
方法二: 1. 在Android Elcipse工程中,在AndroidManifest.xml 中,添加: android:sharedUserId="android.uid.system">
2. 在工程目录下,添加Android.mk文件。并在Android.mk中添加: LOCAL_CERTIFICATE := platform
3. 生成带签名的APK: 然后将其放置于 android/packages/apps 目录下。 进入目录,运行mm即可。 但此处请注意:Android.mk的写法与NDK编译和Android.mk写法不同。尤其是有jni模块时,还需要在jni目录下创建自己的Android.mk。这里不详细说。未来再讲。
运行完毕后,也会生成一个拥有此Android平台系统权限的APK。
4. 拥有系统签名的APK的变化: 除了拥有类似修改系统时间这样的权力外,拥有系统签名的APK有什么变化呢? APK在运行时,在Linux层面,会生成一个进程。它们的父进程都是zygote. 当没有系统权限的APK运行时,它的User为类似:u0_a67这样的用户。 而当有系统权限的APK运行时,它的User为system. 这在Linux层有巨大意义。 在Linux /dev目录下,某些device(如:/dev/uinput,/dev/video0)的拥有者,正是system. 它们的访问权限为:660。 当某APK使用jni方式访问这类device时,没有系统权限的APK用户为other,对应device访问权限为:0。不可读写,不可执行。所以会失败。 而当此APK拥有系统权限时,它的拥有者为system. 对应device的访问权限为6,可读写。则jni 可以open ,read,write,ioctl则没有问题。
注1:keytool说明:
[tr] [td] -genkey [/td] [td] 生成一个key pair (公钥和私钥) [/td] [/tr]
[tr] [td] -v [/td] [td] 允许详细内容输出. [/td] [/tr]
[tr] [td] -alias [/td] [td] key的别名. 只会用到前8个字符. [/td] [/tr]
[tr] [td] -keyalg [/td] [td] 生成key时的加密算法. 支持 DSA 和 RSA. [/td] [/tr]
[tr] [td] -keysize [/td] [td] 生成的key的大小(bits). 如果不提供, Keytool使用默认的Key大小:1024.
通常情况下,我们推荐使用 2048或者更大的key尺寸. [/td] [/tr]
[tr] [td] -dname [/td] [td] 描述key的创建者的标识名称. 在自签名证书中, 本参数会出现在发布者和主题字段.
注意, 不要在命令行下指定这个选项. 此时 Jarsigner会提示你输入每一个标识名称字段(CN, OU,等) [/td] [/tr]
[tr] [td] -keypass [/td] [td] key的密码. 安全起见, 不要在命令行中包含这个选项. 此时Keytool会提示你输入密码.
这种方式中, 密码不会被保存在shell历史数据中. [/td] [/tr]
[tr] [td] -validity [/td] [td] key的有效期, 以天数为单位. 注意: 推荐使用10000或更大的数字. [/td] [/tr]
[tr] [td] -keystore .keystore [/td] [td] 保存私钥的keystore名称. [/td] [/tr]
[tr] [td] -storepass [/td] [td] keystore的密码. 安全起见, 不要在命令行中包含这个选项.
此时, Keytool会提示输入这个密码.
在这种方式中, 密码不会被保存在shell历史数据中. [/td] [/tr]一个使用Keytool命令生成私钥的例子: | 
发表于 2015-1-8 10:48
