keytool
keytool工具 是一个Java 数据证书的管理工具,它是JDK自带的一个在命令行下执行的程序。
常用命令:
genkey 生成密钥对(公钥和私钥)
-v 显示密钥库中的证书详细信息
-alias <alias_name> 秘钥的别名,只有前8个字符有效
-keyalg <alg> 生成秘钥的算法,支持DSA和RSA
-keysize <size> 生成秘钥的位数,默认1024位,建议使用2048以上的位数
-dname <name> 发布者名称,如未指定,在使用jarsigner签名时会提示输入
-keypass <password> 秘钥的密码
-validity <valDays> 密钥的有效期是多少天
-storepass <password> keystore的密码
如下是使用Keytool生成keystore文件,使用RSA算法,秘钥长度为4096位
keytool -genkey -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 4096 -validity 10000
生成的过程中会让我们填写一些信息,如密码、城市等,生成的keystore文件默认在当前目录下。
jarsigner
Android系统中的签名算法使用MD5作为哈希算法并使用RSA进行加密和解密,计算apk的哈希算法使用SHA-1
常用命令:
-keystore <keystore-name>.keystore keystore路径
-signedjar <signed-apk-name>.apk 签名后apk文件输出路径
-verbose 输出详细信息
-sigalg <算法> 签名算法
-digestalg <算法> 处理apk使用的哈希算法
-verify 验证已签名的jar文件
我们通过工具导出一个未经过签名的apk文件,为其签名
通过Eclipse:
右键单击项目名称,选择AndroidTools→Export Unsinged Application Package通过AndroidStudio
在找到项目右侧的Gradle按钮,点击打开
在打开的窗口中找到项目名对应的Gradle,依次进入Tasks→build,点击assemble进行生成
生成后的apk文件在moudle的build/outputs/apk目录下,文件名包含unsigned的apk文件即是生成的未签名apk文件
jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore -signedjar my_application_signed.apk my_application_unsigned.apk my_alias
如图所示,虽然我们签名成功了。但是会提示警告:
警告:
No -tsa or -tsacert is provided and this jar is not timestamped. Without a timestamp, users may not be able to validate this jar after the signer certificate's expiration date (2045-10-02) or after any future revocation date.
大概意思是说,未提供 -tsa 或 -tsacert, 此 jar 没有时间戳。如果没有时间戳, 则在签名者证书的到期或以后的任何撤销日期之后,用户可能无法验证此jar。
解决此问题的方法就是在命令后面添加时间戳网址,完整命令如下:
jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore -signedjar my_application_signed.apk my_application_unsigned.apk my_alias -tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp
网上大部分让加的-tsa https://timestamp.geotrust.com/tsa 会提示无法对 jar 进行签名: 时间戳颁发机构没有响应。
原因是这个时间戳网址已经过期了
我们可以通过如下命令进行验证签名是否成功:
jarsigner -verify my_application_signed.apk
如果你使用的是一个签过名的apk文件,执行重签名会报如下错误:
jarsigner: 无法对 jar 进行签名: java.util.zip.ZipException: invalid entry compressed size
如果有重签名(与之前签名不同)的需求,可以把要重签名的apk后缀改成zip,打开后删除里面的META-INF目录,然后重新改成apk后缀,再次进行签名
zipalign
签名之后,我们还可以使用zipalign工具对安装包进行对齐优化,这样能够让应用程序和整个系统运行得更快
开发工具进行zipalign非常方便:
Eclipse中的ADT插件(0.9.3及以上版本)可以自动zipalign对齐:
右键单击项目名称,选择AndroidTools→Export Signed Application PackageAndroid studio在build.gradle文件中加入zipAlignEnabled true 开启zipalign对齐:
buildTypes {
release {
...
zipAlignEnabled true
...
}
}
- 手动zipalign对齐:
Android 1.6及以后的SDK的 build-tools/版本/ 文件夹下都有zipalign工具。例如我的路径是:
C:\Users\hanpeng\AppData\Local\Android\Sdk\build-tools\23.0.1\zipalign.exe
在签名后使用以下命令进行zipalign对齐:
zipalign -v 4 my_application_signed.apk my_application_signed_zipaligned.apk
对齐验证:
zipalign -c -v 4 my_application_signed_zipaligned.apk
参考:
《Android安全机制解析与应用实践》 第八章 Android应用安全实用解决方案