【转】android签字

1.? 为什么要签名

??? 1)? 发送者的身份认证
???????? 由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序，以此保证签名不同的包不被替换

??? 2)? 保证信息传输的完整性
???????? 签名对于包中的每个文件进行处理，以此确保包中内容不被替换

??? 3)? 防止交易中的抵赖发生， Market 对软件的要求

2.?? 签名的说明

? ? 1)? 所有的应用程序都必须有数字证书， Android 系统不会安装一个没有数字证书的应用程序

??? 2)? Android 程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证

??? 3)? 如果要正式发布一个 Android 应用，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用 adt 插件或者 ant 工具生成的调试证书来发布

??? 4)? 数字证书都是有有效期的， Android 只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能

??? 5)? 签名后需使用 zipalign 优化程序

??? 6)? Android 将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，而不是用来决定最终用户可以安装哪些应用程序

3.?? 签名的方法

a)????????? 使用源码中的默认签名
在源码中编译一般都使用默认签名的，在某源码目录中用运行
$ mm showcommands能看到签名命令
Android提供了签名的程序signapk.jar，用法如下：
$ signapk publickey.x509[.pem] privatekey.pk8 input.jar output.jar
*.x509.pem为x509格式公钥，pk8为私钥
build/target/product/security目录中有四组默认签名可选：testkey, platform, shared, media（具体见README.txt），应用程序中Android.mk中有一个LOCAL_CERTIFICATE字段，由它指定用哪个key签名，未指定的默认用testkey.

b)???????? 在源码中自签名
Android提供了一个脚本mkkey.sh（build/target/product/security/mkkey.sh），用于生成密钥，生成后在应用程序中通过Android.mk中的LOCAL_CERTIFICATE字段指名用哪个签名

c)????????? mkkey.sh介绍

?????????????????????????????????????? i.????????????? 生成公钥
openssl genrsa -3 -out testkey.pem 2048
其中-3是算法的参数，2048是密钥长度，testkey.pem 是输出的文件

????????????????????????????????????? ii.????????????? 转成x509格式（含作者有效期等）
openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000 -subj ‘/C=US/ST=California/L=Mountain [email protected].com’

??????????????????????????????????? iii.????????????? 生成私钥
openssl pkcs8 -in testkey.pem -topk8 -outform DER -out testkey.pk8 -nocrypt
把的格式转换成PKCS #8，这里指定了-nocryp，表示不加密，所以签名时不用输入密码

?

一般在安装时提示出错：INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES

1)???????? 两个应用，名字相同，签名不同

2)???????? 升级时前一版本签名，后一版本没签名

3)???????? 升级时前一版本为DEBUG签名，后一个为自定义签名

4)???????? 升级时前一版本为Android源码中的签名，后一个为DEBUG签名或自定义签名

5)???????? 安装未签名的程序

6)???????? 安装升级已过有效期的程序

6.? 相关工具

1)???????? 查看某个x509证书的的有效日期
在SignApk.java中打印出publicKey.getNotAfter()即可