目录(?)[-]

  1. Android安全模型
  2. 数字证书签发
    1. Debug的keystore
    2. 生产unsigned的apk
    3. 为apk进行证书签发
    4. align安装包
  3. 使用Export Wizard生成签发的apk
  4. adb安装apk命令

Android安全模型

Android应用在部署时有一个数字证书,当运行时,每个应用在一个独立的进程,并有在安装是分配到唯一的一个user ID。此外,通过权限声明来保护敏感信息。

数字证书签发

具体的签发过程可以阅读:http://developer.android.com/tools/publishing/app-signing.html

Android要求应用有数字证书签发,以此确保升级必须为原作者提供。数字证书包括诸如公司、地址等信息,关键属性是签名和公/私钥。公/私钥也称为key pair。数字证书可以从认证机构(CA)获取,也可以通过keytool工具生成。数字证书们保存在keystore中。

签发一个Andriod应用要求有三样:1、数字证书;2、.apk文件;3、如何将数字证书apply到.apk文件的工具。我们可以使用JDK的jarsigner命令行工具为jar签发数字证书。

签发应用需三个步骤:1、通过keytool(或其他工具)生成数字证书;2、使用jarsigner工具(位于JDK的bin/目录下)为apk签发证书;3、分配应用的存贮边界,使之在设备上对内存使用更有效。在Eclipse中,ADT插件在向模拟器或真实设备中部署前已经为你完成上面的步骤。

keytool -genkey -v -keystore "D:\developer\adt-bundle-windows-x86\workspace\release\release.keystore"-alias androidwei-storepasspaxxword-keypass keypaxxword-keyalg RSA-validity 14000

- genkey:产生公私钥对 
- v :在key生成过程中输入verbose。 
- keystore:存放keystore database的路径,本例直接为文件,运行后,我们会看到release.keystore的文件生成。 
- alias:keystore entry的唯一名字 
- storepass:keystore的密码 
- keypass:获取私钥的密码 
- keyalg:算法 
- validity:有效时间(日),这是该应用有效升级的期限,14000大概有38年,Android建议至少有25年以上。

我们需要保持要keystore文件,因为以后的应用版本升级都需要用它来签发,这个文件一旦丢失,无法重新生成。如果没有输入keypass和storepass,keytool会提示输入。keytool会询问作者的信息,例如姓名,公司等,见下图。

【转】 Pro Android学习笔记(六四):安全和权限(1):签发apk-LMLPHP

我们可以通过下面命令进行查看:

keytool -list -keystore "D:\developer\adt-bundle-windows-x86\workspace\release\release.keystore"

创建了keystore文件,可以重复使用这个文件,加入更多的证书。

Debug的keystore

前面提到,eclipse的ADT插件会帮你做好部署的一切工作。ADT会提供数字证书放在debug.keystore文件,具体路径查询方式如下。

【转】 Pro Android学习笔记(六四):安全和权限(1):签发apk-LMLPHP

需要注意对于debug版本,有效期validity只有365天,如果超出这个时间,我们编译会报错,不能提供新的版本,简单地,我们只要删除文件即可,ADT会提供一个新的具有365有效期的证书给我们。我们需要将模拟器上的应用uninstalled,或者简单地创建一个新的模拟器。另一种方式就是我们自己给数字证书,有效时间自己定,这个数字证书名字和目录和ADT创建相同,相关参数为:alias=androiddebugkey,storepass=android,keypass=android;在提示中frist  and last name为“Android Debug”,组织单位(organizational unit)为Android,国家代码US,其余的组织(organization)、城市(city)、州(state)不填,即unknown。

生产unsigned的apk

我们需要生成unsigned的apk,然后在为这个apk进行签发。点击project的右键-》Android Tools-》Export Unsigned Application Package即可。

【转】 Pro Android学习笔记(六四):安全和权限(1):签发apk-LMLPHP

为apk进行证书签发

有了证书,有了apk,我们就可以利用jarsinger工具实施签发。命令如下:

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore "D:\developer\adt-bundle-windows-x86\workspace\release\release.keystore"-storepass paxxword -keypass keypaxxword "D:\developer\adt-bundle-windows-x86\ProPermission.apk"androidwei

最后一个参数是证书entry的alias。同样的,我们可以不输入两个password,命令会提示你输入。如果keypass和storepass一致,只需告知storepass密码。

我一开始根据《Pro Android 4.0》一书的指引,所签发的apk在设备上安装会报错,而通过wizard方式正常(见后面介绍),说明问题出现在jarsigner处。究其原因,是我使用了JDK 7,这个版本要求给出签发和digest算法,也即-sigalg和-digestalg参数。

align安装包

在Android,可以通过通过mmap()将没有压缩的数据直接放入内存,例如特定img或者文件。由于手机的CPU是32位,这要求安装包的数据也是以4个字节为边界。在签发证书后,我们可以利用zipalign工具(在Android SDK tools目录)进行对齐。调整后的apk会比原来的稍大一些。

zipalign –v 4 <infile.apk> <outfile.apk> 生产对齐apk -v即verbose,4即4字节,如要覆盖已有的outfile.apk,增加-f表示force
zipalign –c –v 4 <filename.apk> 检查该apk是否已经对齐调整

使用Export Wizard生成签发的apk

在生成unsigned apk时,我们注意到还有一项是Export Signed Application Package..(右键project-》Android Tools –》Export Signed Application Package),这是一个Export Wizard,引导完成上面的所有步骤。这种方式,可以使用已有的keystore,也可以新建,建议使用这种方式

adb安装apk命令

上面我们已经生产了签发的apk,对于apk文件,可以通过adb命令进行安装。

D:\developer\adt-bundle-windows-x86>adb install ProPermission.apk
71 KB/s (278408 bytes in 3.826s) 
        pkg: /data/local/tmp/ProPermission.apk 
Failure [INSTALL_FAILED_ALREADY_EXISTS]

不成功,已经存在,那可以采用强制覆盖的方式进行安装:

D:\developer\adt-bundle-windows-x86>adb install-r ProPermission.apk
68 KB/s (278408 bytes in 3.991s) 
        pkg: /data/local/tmp/ProPermission.apk 
Failure [INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES]

还不成功,原来我们已经在模拟器上安装的debug版本,这和apk使用不同的证书签发的,证书不同,不能安装,我们需要卸装,在模拟器上就上手机那样进行卸装,可以用命令:

adb uninstall cn.wei.flowingflying.propermission

注意,这里的参数是包名,不是apk的名字,而是在AndroidManifest.xml中定义的。在AndroidManifest.xml也定义了version,用于作为版本升级的判断。

相关链接: 我的Android开发相关文章

05-11 09:24