转自:http://blog.csdn.net/yangkai6121/article/details/38682321

为什么需要给Android系统签个名才能进行CTS认证呢？原来我们通过make -j4编译出来的system.img使用的是test key,这种类型的key只适用于开发阶段，而且这种秘钥是公开的，谁都可以使用。当发布一款android产品，就需要另外给整个系统签个名，防止被别人盗用。这种系统就是release版本的Android系统。

一、首先介绍关于签名的作用

1、 APK签名的作用：

a）发送者的身份认证，由于开发商可能通过使用相同的Package Name来混淆替换已经安装的程序，以此保证签名不同的包不被替换。
b）保证信息传输的完整性，签名对于包中的每个文件进行处理，以此确保包中内容不被替换，防止交易中的抵赖发生，Market对软件的要求。

2、 Recovery签名作用：

Recovery进行签名的主要作用是用来验证数据的完整性。

3、要对Android系统进行签名，需要生成四种类型的key文件。

a）releasekey （或testkey）
   b）media
   c）shared
   d）platform
以上的四种，可以在源码的/build/target/product/security里面看到对应的密钥，其中shared.pk8代表私钥，shared.x509.pem公钥，一定是成对出现的。其中testkey是作为android编译的时候默认的签名key，如果系统中的apk的android.mk中没有设置LOCAL_CERTIFICATE的值，就默认使用testkey。而如果设置成：LOCAL_CERTIFICATE := platform 就代表使用platform来签名，这样的话这个apk就拥有了和system相同的签名，因为系统级别的签名也是使用的platform来签名，此时使用android:sharedUserId="android.uid.system"才有用！

二、生成加密key文件

我们就拿releasekey为例简单介绍下生成过程。Android使用SHA1－RSA算法进行签名。可通过eclipse插件进行，可以通过keytool和jarsigner 用命令行执行。也可以在源码下进行签名。

1、以源码下签名方法来介绍生成密钥对方法：

直接执行development/tools/make_key releasekey '/C=CN/ST=BeiJing/L=HaiDian View/O=JiuZhou/OU=PingTai/CN=lran/emailAddress=lran@jzby.com'生成releasekey.pk8和releasekey.x509.pem。其中releasekey 是指最后的加密方式为release方式，执行后显示如下：
development/tools$ sh make_key releasekey '/C=CN/ST=JiangSu/L=NanJing/O=Company/OU=Department/CN=YourName/emailAddress=YourE-mailAddress'
Enter password for 'releasekey' (blank for none; password will be visible): mypassword <------- 设置你的密码（一般直接回车，要不每次签名apk，你还得手动输入签名密码，后面讲其他原因）
creating platform.pk8 with password [mypassword]
Generating RSA private key, 2048 bit long modulus
...............+++
........................................................+++
e is 3 (0x3)

key的名字很好理解，就是前面提到的4中类型的key，公司信息的参数比较多，它们的含义如下：
C   ---> Country Name (2 letter code)
ST ---> State or Province Name (full name)
L   ---> Locality Name (eg, city)
O   ---> Organization Name (eg, company)
OU ---> Organizational Unit Name (eg, section)
CN ---> Common Name (eg, your name or your server’s hostname)
emailAddress ---> Contact email address
这样就生成了一组releasekey,另外3种类型的key的生成方法也基本一样。
生成后的结果如下：
/development/tools$ ls
makedict media.pk8       mkstubs       platform.pk8       releasekey.pk8       shared.pk8   make_key media.x509.pem    platform.x509.pem releasekey.x509.pem shared.x509.pem
*.pk8是生成的私钥，而*.x509.pem是公钥,生成时两者是成对出现的.
另外，如果出现 openssl : relocation error :openssl : symbol ...尝试用 sudo 执行命令，问题解决了！
生成的密钥需要放到build/target/product/security/目录下面，因为之前系统里面写的test-keys的密钥就放在此处。我们是仿照系统的方法的方法放在此处，后面写系统签名刚好用到所以放到该文件夹最合适。

2、 make_key介绍

a）生成公钥
openssl genrsa -3 -out testkey.pem 2048
其中-3是算法的参数，2048是密钥长度，testkey.pem是输出的文件
b）转成x509格式（含作者有效期等）
openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000 -subj ‘/C=US/ST=California/L=MountainView/O=Android/OU=Android/CN=Android/emailAddress=android@android.com’
c）生成私钥
openssl pkcs8 -in testkey.pem -topk8 -outform DER -out testkey.pk8 -nocrypt
把的格式转换成PKCS #8，这里指定了-nocryp，表示不加密，所以签名时不用输入密码

三、如何签名

1、对APK签名命令：

signapk publickey.x509[.pem] privatekey.pk8 input.apk output.apk
如上面就可以写为：java -jar signapk.jar releasekey.x509.pem releasekey.pk8 input.apk output.apk
签名后，输出文件的meta_inf目录下生长如下文件：
MANIFEST.MF：对非文件夹非签名文件的文件，逐个生成SHA1的数字签名信息
CERT.SF：对Manifest文件，使用SHA1-RSA算法，用私钥进行签名。
CERT.RSA：CERT.RSA文件中保存了公钥、所采用的加密算法等信息。
下图是eclipse中签名的过程。
android系统release签名

2、对recovery 签名命令：

signapk –w publickey.x509[.pem] privatekey.pk8 input.zip output.zip
- w参数表示对整个文件进行签名，目前看只是在制作recovery升级包时使用。
对升级包的签名可参考：http://blog.163.com/yi_yixinyiyi/blog/static/136286889201132533759563/

另外一种对系统的签名可以直接在源码加入编译的签名的路径不需要在去手动签名，其修改方法如下：
主要参考了：http://www.cnblogs.com/leaven/p/3860583.html 讲的很详细，也很有用。
a）修改/build/core/config.mk中变量DEFAULT_SYSTEM_DEV_CERTIFICATE ，修改方法如下：（红色为添加代码）
# The default key if not set as LOCAL_CERTIFICATE
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
else
DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/testkey
endif
#modify by lran jzby 指出密钥路径
DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/releasekey
# ###############################################################
# Set up final options.
# ###############################################################

b）在build/core/Makefile中添加：
   （1）mx中修改方法
ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/testkey)
BUILD_KEYS := test-keys
else
BUILD_KEYS := dev-keys
endif
#modify by lran jzby 目的就是配置当前的名方式为release方式
ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/releasekey)
BUILD_KEYS := release-keys
endif
BUILD_VERSION_TAGS += $(BUILD_KEYS)
.....
ifeq ($(BUILD_SECURE),true)
   OTA_PUBLIC_KEYS := device/*/$(TARGET_DEVICE)/releasekey.x509.pem
else
   OTA_PUBLIC_KEYS := $(SRC_TARGET_DIR)/product/security/testkey.x509.pem
endif
#modify by lran jzby 指向密钥
   OTA_PUBLIC_KEYS := build/target/product/security/releasekey.x509.pem
   （2）hisi中修改方法
ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/testkey)
BUILD_VERSION_TAGS += test-keys
endif
#modify by lran jzby
ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/releasekey)
BUILD_VERSION_TAGS += release-keys
else
BUILD_VERSION_TAGS += dev-keys
endif
BUILD_VERSION_TAGS := $(subst $(space),$(comma),$(sort $(BUILD_VERSION_TAGS)))
海斯中第二行不需要修改，因为海斯对应的该行以写成OTA_PUBLIC_KEYS := $(DEFAULT_SYSTEM_DEV_CERTIFICATE).x509.pem可以直接被自动替换

（3），其实在安装apk的package.mk中也有密钥的使用，不过他和海斯一样直接用DEFAULT_SYSTEM_DEV_CERTIFICATE替代了，所以不用修改。
ifeq ($(LOCAL_CERTIFICATE),)
LOCAL_CERTIFICATE := $(DEFAULT_SYSTEM_DEV_CERTIFICATE)
endif
......
private_key := $(LOCAL_CERTIFICATE).pk8
certificate := $(LOCAL_CERTIFICATE).x509.pem

（4）修改完之后就要编译了，如果上面的这些key在制作的时候输入了password就会出现如下错误：
    Enter password for build/target/product/security/releasekey.pk8 (password will not be hidden): java.lang.NullPointerException
        at com.android.signapk.SignApk.decryptPrivateKey(SignApk.java:142)
        at com.android.signapk.SignApk.readPrivateKey(SignApk.java:166)
        at com.android.signapk.SignApk.main(SignApk.java:531)
    Enter password for build/target/product/security/releasekey.pk8 (password will not be hidden): make: ***    [out/target/product/gotechcn/obj/APPS/CalendarProvider_intermediates/package.apk] 错误 1
    make: *** 正在等待未完成的任务....
       Enter password for build/target/product/security/releasekey.pk8 (password will not be hidden): java.lang.NullPointerException
        at com.android.signapk.SignApk.decryptPrivateKey(SignApk.java:142)
        at com.android.signapk.SignApk.readPrivateKey(SignApk.java:166)
        at com.android.signapk.SignApk.main(SignApk.java:531)
    make: *** [out/target/product/gotechcn/obj/APPS/Calculator_intermediates/package.apk] 错误 1
    Warning: AndroidManifest.xml already defines minSdkVersion (in http://schemas.android.com/apk/res/android); using existing value in manifest.
    Warning: AndroidManifest.xml already defines targetSdkVersion (in http://schemas.android.com/apk/res/android); using existing value in manifest.
       'out/target/common/obj/APPS/Calendar_intermediates/classes.dex' as 'classes.dex'...
    Enter password for build/target/product/security/releasekey.pk8 (password will not be hidden): java.lang.NullPointerException
        at com.android.signapk.SignApk.decryptPrivateKey(SignApk.java:142)
        at com.android.signapk.SignApk.readPrivateKey(SignApk.java:166)
        at com.android.signapk.SignApk.main(SignApk.java:531)
    make: *** [out/target/product/gotechcn/obj/APPS/Calendar_intermediates/package.apk] 错误 1
       ^Cmake: *** [out/target/product/gotechcn/obj/APPS/BasicDreams_intermediates/package.apk] 错误 130
其实会出现这个错误的最根本的原因是多线程的问题。在编译的时候为了加速一般都会执行make -jxxx，这样本来需要手动输入密码的时候，由于其它线程的运行，就会导致影响当前的输入终端，所以就会导致密码无法输入的情况！再编译完成之后也可以在build.prop中查看到变量：ro.build.tags=release-keys 这样处理了之后编译出来的都是签名过的了，系统才算是release版本。我发现我这样处理之后，整个系统的算是全部按照我的要求签名了。

四、签名的相关文件

1、 apk包中签名相关的文件在meta_INF目录下

CERT.SF：生成每个文件相对的密钥
MANIFEST.MF：数字签名信息
xxx.SF：这是JAR文件的签名文件，占位符xxx标识了签名者
xxx.DSA：对输出文件的签名和公钥

2、相关源码

development/tools/jarutils/src/com.anroid.jarutils/SignedJarBuilder.java
frameworks/base/services/java/com/android/server/PackageManagerService.java
frameworks/base/core/java/android/content/pm/PackageManager.java
frameworks/base/cmds/pm/src/com/android/commands/pm/Pm.java
dalvik/libcore/security/src/main/java/java/security/Sign*
build/target/product/security/platform.*
build/tools/signapk/*

五、怎样验证签名

1、 APK验证：

安装apk时，通过CERT.RSA查找公钥和算法，并对CERT.SF进行解密和签名验证，确认MANIFEST.MF，最终对每个文件签名校验。
升级时，android也会进行签名验证。如果遇到以下情况，都不能完成升级：
a）两个应用，名字相同，签名不同
b）升级时前一版本签名，后一版本没签名。
c）升级时前一版本为DEBUG签名，后一个为自定义签名。
d）升级时前一版本为Android源码中的签名，后一个为DEBUG签名或自定义签名。
e）安装未签名的程序。
f）安装升级已过有效期的程序。
一般在apk安装时提示出错：INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES
a）两个应用，名字相同，签名不同
b）升级时前一版本签名，后一版本没签名
c）升级时前一版本为DEBUG签名，后一个为自定义签名
d）升级时前一版本为Android源码中的签
以上可以看到，随便更换密钥对后签名生成的apk也是可以安装在任何平台的。因为公钥是放在apk里的。

2、 RECOVERY：

Recovery公钥是固定在代码里面。并没有采用CERT.RSA里面公钥。目前几乎所有的手机平台都是用testkey。固定公钥目的可能是为了确保其它平台的升级包不能被升级。比如我们统一更换了一个密钥对，那么recovery里面固定的公钥更改后，用testkey做成的升级包是无法升级成功的。
同时recovery只是对整个升级压缩文件进行签名校验（前面说过recovery签名使用的是-w）。
Recovery 代码里面使用的公钥是按照rsapublickey 数据结构存储。这个数据是通过dumppublickey工具从制作出来的x509证书文件中获得。Dumppublickey代码在网上可以查找到。

android系统release签名的更多相关文章

android 编译 release 签名
1.编译 ionic build --release android 2.签名文件 keytool -genkey -alias kwwy -keyalg RSA -validity 40000 -k ...
【转】android应用程序签名
概述 Android系统要求,所有的程序经过数字签名后才能安装.Android系统使用这个证书来识别应用程序的作者,并且建立程序间的信任关系.证书不是用于用户控制哪些程序可以安装.证书不需要授权中心来 ...
android应用程序签名(转)
概述 Android系统要求,所有的程序经过数字签名后才能安装.Android系统使用这个证书来识别应用程序的作者,并且建立程序间的信任关系.证书不是用于用户控制哪些程序可以安装.证书不需要授权中心来 ...
Android——编译release版签名系统
http://blog.csdn.net/jscese/article/details/24243171 在我的第一篇博客里面http://blog.csdn.net/jscese/article/d ...
android 系统签名【转】
本文转载自:http://blog.csdn.net/csh86277516/article/details/73549824 Android——编译release版签名系统 AndroidManif ...
Android 签名(7)签名常见问题,debug签名和release签名的区别等
一般在安装时提示出错:INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES 1) 两个应用,名字相同,签名不同 2) 升级时前一版本签名,后一版本没签名 3) ...
Android系统权限及签名
Android系统权限及签名 2015-03-23 19:13:33CSDN-chen52671-点击数:50 Android权限及签名引子现象:系统中的一个定制Service,服务是 ...
详解cocos2dx 3&period;0的release版本在android平台的签名过程
当您的游戏准备发布前,需要编译成为release版本,命令中需要增加 -m release,编译命令如下: cocos compile -p android -m release 在编译结束后,生成x ...
Android系统开发编译系统签名的APP
前言一般情况下,我们使用的签名都是自己生成的Java签名来编译APP. 但是,如果需要开发一些特定设备的APP(对权限有更高的要求,需求一些系统基本的权限,比如让APP可以控制设备的休眠),那就需要 ...

随机推荐

Linux&lowbar;常用命令&lowbar;02
1. 配置网络参数: (1).root登录 --> setup命令进入到 "text mode setup utiliy" (2).运行命令"/etc/rc.d/ ...
用js控制选项卡的隐藏与显示
通过使用ul和div来,借助于jquery来实现选项卡的显示与隐藏 <form action="" method="post"> <div&g ...
c89和c99的区别【转】
//本文转自:http://www.360doc.com/content/10/0324/18/2633_20101093.shtml 注: GCC支持C99, 通过 --std=c99 命令行参数开 ...
c语言结构体中的冒号的用法
结构体中常见的冒号的用法是表示位域. 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位.例如在存放一个开关量时,只有0和1 两种状态, 用一位二进位即可.为了节省 ...
Process Node&period;js 进程
Process 进程 process.argv 是命令行参数数组,第一个元素是node,第二个元素是脚本文件名,从第三个元素开始每个元素是一个运行参数. process.stdout 标准输出流 co ...
android百度地图打包混淆用不了No such file or directory (2) com&period;baidu&period;mapapi&period;BMapManager&period;init(Unknown Source)
调用了百度地图地图开发包是baidumapapi_v2_1_1.jar,定位SDK版本是locSDK_3.3.jar 调试的时候能运行!可是打包签名后就运行不了! baidu google 了好久! ...
Error(10028)
两个进程里都有同一个条件判断的话,会产生并行信号冲突的问题. 同一个信号不允许在多个进程中赋值,否则则为多驱动. 进程的并行性决定了多进程不同能对同一个对象进行赋值.
第六十三天 js基础
一.JS三个组成部分 ES:ECMAScript语法 DOM:document对象模型=>通过js代码与页面文档(出现在body中的所有可视化标签)进行交互 BOM:borwser对象模型=&g ...
H5使用codovar插件实现支付宝支付（支付宝APP支付模式，前端）
H5打包的app实现支付及支付宝支付,本章主要详解支付宝支付,微信支付请查看另一篇“H5使用codovar插件实现微信支付(微信APP支付模式,前端)” ps:本文只试用H5开发的,支付宝 APP支付 ...
java并发编程之一--Semaphore的使用
1.介绍 Semaphore 中文的含义信号,信号系统,此类的只要作用就是限制线程的并发的数量. Semaphore内部主要通过AQS(AbstractQueuedSynchronizer)实现线程 ...

android系统release签名

一、 首先介绍关于签名的作用