Android 签名

为了要签名？

开发Android的人这么多，完全有可能大家都把类名，包名起成了一个同样的名字，这时候如何区分？签名这时候就是起区分作用的。

    由于开发商可能通过使用相同的Package Name来混淆替换已经安装的程序，签名可以保证相当名字，但是签名不同的包不被替换。

    APK如果使用一个key签名，发布时另一个key签名的文件将无法安装或覆盖老的版本，这样可以防止你已安装的应用被恶意的第三方覆盖或替换掉。

    这样签名其实也是开发者的身份标识。交易中抵赖等事情发生时，签名可以防止抵赖的发生。

 

签名的注意事项

• 所有的Android应用都必须有数字签名，没有不存在数字签名的应用，包括模拟器上运行的。Android系统不会安装没有数字证书的应用。
• 签名的数字证书不需要权威机构来认证，是开发者自己产生的数字证书，即所谓的自签名。
• 模拟器开发环境，开发时通过ADB接口上传的程序会先自动被签有Debug权限，然后才传递到模拟器。如下图所示，Eclipse菜单的Window -> Preferences -> Android –> Build 下显示的是我们默认的调试用的签名数字证书。

• 正式发布一个Android应用时，必须使用一个合适的私钥生成的数字证书来给程序签名，不能使用ADT插件或者ANT工具生成的调试证书来发布。
• 数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。
• 签名后需使用zipalign优化程序。
• Android将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，而不是用来决定最终用户可以安装哪些应用程序。

签名的方法

方法一、使用Eclipse工具

此方法适用于Android1.5及以上版本。

步骤一：打开Eclipse->选择你要签名的项目->右击->android tools->Export signed Application package

步骤二，在出现的窗口确认是不是这个项目要签名，然后选择下一步：

步骤三：在Export Android Application 这一步，如果我们之前已有有了 keystore, 选择我们之前已有的，否则我们新建一个。

如下，选择需要保存这个证书文件的目录，以及这个证书文件的一个密码。

步骤四，点击下一步后，我们需要填写keystore的基本信息，如，别名，密码，有效期，姓名，组织，组织名称，所在城市，所在省份，国家等，点击Next

步骤五、选择被签名后的APK保存位置。点击finish。注意是选择最终将产生的文件。

之后我们在刚才选择的目录下就可以看到生成的签名后的APK文件。

方法二：使用命令行方式签名。

这种方式比起前面要复杂很多了，但是却对我们理解APK文件有很多帮助。这里我们是使用Keytool和Jarsigner给程序签名。

keytool 是个密钥和证书管理工具。jarsigner 工具利用密钥仓库中的信息来产生或校验 Java 存档 (JAR) 文件的数字签名 （JAR 文件将类文件、图象、声音和/或其它数字化数据打包在一个文件中）。

这两个工具都是JDK自带的，所以你当前需要先确保JDK安装正确。并且环境变量设置正确，以便可以以命令行的方式进行处理。

 

步骤一：用 KeyTool 产生证书文件

下面是我随便生成的一个证书文件：

E:\Projects\cybercare.cn\trunk\android\ks2>keytool -genkey -keystore ks2.keystor
e -keyalg RSA -validity 10000 -alias ks2.keystore
输入keystore密码：
您的名字与姓氏是什么？
  [Unknown]：  www.cybercare.cn
您的组织单位名称是什么？
  [Unknown]：  Cybercare
您的组织名称是什么？
  [Unknown]：  津驰速信
您所在的城市或区域名称是什么？
  [Unknown]：  北京
您所在的州或省份名称是什么？
  [Unknown]：  北京
该单位的两字母国家代码是什么
  [Unknown]：  CN
CN=www.cybercare.cn, OU=Cybercare, O=津驰速信, L=北京, ST=北京, C=CN 正确吗？
  [否]：  y

输入<ks2.keystore>的主密码
        （如果和 keystore 密码相同，按回车）：
再次输入新密码:

E:\Projects\cybercare.cn\trunk\android\ks2>

命令参数说明：

-genkey    产生证书文件
-keystore  指定密钥库的.keystore文件中

-keyalg     指定密钥的算法

-validity    为证书有效天数，这里我们写的是10000天。
-alias       产生别名

在输入密码时没有回显，只管输入就可以了，一般位数建议使用20位，切忌需要记下来后面还要用，

注意：

1、CN（Common Name - 名字与姓氏）：其实这个“名字与姓氏”应该是域名，比如说localhost或是blog.devep.net之类的。输成了姓名，和真正运行的时候域名不符，会出问题。浏览器访问时，弹出一个对话框，提示“安全证书上的名称无效，或者与站点名称不匹配”，用户选择继续还是可以浏览网页。但是用http client写程序访问的时候，会抛出类似于“javax.servlet.ServletException: HTTPS hostname wrong: should be ”的异常。

2、在用keytool生成数字证书时必须保证：-keystore androidapp.keystore -alias androidapp.keystore 两者名称必须相同。否则下一步签名时会出现错误：jarsigner： 找不到 androidapp.keystore 的证书链。androidapp.keystore 必须引用包含专用密钥和相应的公共密钥证书链的有效密钥库密钥条目。

 

 

KeyTool的更多参数说明可以看这篇文章：

http://www.cnblogs.com/kungfupanda/archive/2010/09/01/1815047.html

 

步骤二：导出未签名的APK文件

 

方法一：使用Eclipse

打开Eclipse->选择你要导出的项目->右击->android tools->Export Unsigned Application package

然后在选择保存文件目录和文件名对话框中输入你想保存的地址，确认后导出后提示信息类似如下：

方法二：

使用Eclipse，在Package Explorer中选择Androidmanifest.xml文件，找到overview项中，单击Export the unsigned apk，如图

注意：

http://www.android123.com.cn/kaifafaq/175.html 提供的方法二：

直接进入工程文件夹的bin目录，比如我们的为C:\Documents and Settings\Administrator\workspace\android123\bin\android123.apk，直接复制出来就是未签名的APK文件。

这个方法并不可取，这个方法取出来的是加了Debug签名的APK文件，而不是未签名的APK文件。

 

 

步骤三，使用产生证书文件签名

下面是我签名我一个之前写的演示程序的执行效果：

E:\Projects\cybercare.cn\trunk\android\ks2>jarsigner -verbose -keystore ks2.keystore -signedjar GasBuddy_signed_00.apk GasBuddy002.apk ks2.keystore
输入密钥库的口令短语：
输入 ks2.keystore 的密钥口令：
   正在添加： META-INF/MANIFEST.MF
   正在添加： META-INF/KS2_KEYS.SF
   正在添加： META-INF/KS2_KEYS.RSA
  正在签名： res/layout/active.xml
  正在签名： res/layout/businessmeninfo_activitylayout.xml
  正在签名： res/layout/businessmeninfo_commentinfo_layout.xml
  正在签名： res/layout/businessmeninfo_commentlist_layout.xml
  正在签名： res/layout/businessmeninfo_information_layout.xml
  正在签名： res/layout/businessmeninfo_pointcardinfo_layout.xml
  正在签名： res/layout/businessmeninfo_pointcardlist_layout.xml
  正在签名： res/layout/commen_publish.xml
  正在签名： res/layout/discount_gasstation_foot_layout.xml
  正在签名： res/layout/discount_gasstation_head_layout.xml
  正在签名： res/layout/discount_gasstation_layout.xml
  正在签名： res/layout/discount_gasstation_list_activitylayout.xml
  正在签名： res/layout/discount_gasstation_title_layout.xml
  正在签名： res/layout/login.xml
  正在签名： res/layout/main.xml
  正在签名： res/layout/menu_activitylayout.xml
  正在签名： res/layout/my_point_gasstation.xml
  正在签名： res/layout/my_point_gasstation_view.xml
  正在签名： res/layout/nearby_gasstation.xml
  正在签名： res/layout/overlay_pop.xml
  正在签名： res/layout/register.xml
  正在签名： res/layout/splash_layout.xml
  正在签名： AndroidManifest.xml
  正在签名： resources.arsc
  正在签名： res/drawable-hdpi/bubble_background.9.png
  正在签名： res/drawable-hdpi/icon.png
  正在签名： res/drawable-hdpi/marker.png
  正在签名： res/drawable-hdpi/u25.png
  正在签名： res/drawable-hdpi/u30.png
  正在签名： res/drawable-ldpi/icon.png
  正在签名： res/drawable-mdpi/icon.png
  正在签名： classes.dex

 

 

在Android 系统中，所有安装 到系统的应用程序都必有一个数字证书，此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature，那么就只有那些跟该permission所在的程序拥有同一个数字证书的应用程序才能取得该权限。Android使用Java的数字证书相关的机制 来给apk加盖数字证书，要理解android的数字证书，需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的，数字证书的私钥则保存在程序开发者的手中。Android将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，不是用来决定最终用户可以安装哪些应用程序。这个数字证书并不需要权威的数字证书签名机构认证，它只是用来让应用程序包自我认证的。（文/feisky ）

一：同一个开发者的多个程序尽可能使用同一个数字证书 ，这可以带来以下好处。

(1)有利于程序升级，当新版程序和旧版程序的数字证书相同时，Android系统才会认为这两个程序是同一个程序的不同版本。如果新版程序和旧版程序的数字证书不相同，则Android系统认为他们是不同的程序，并产生冲突，会要求新程序更改包名。

(2)有利于程序的模块化设计和开发。Android系统允许拥有同一个数字签名的程序运行在一个进程中，Android程序会将他们视为同一个程序。所以开发者可以将自己的程序分模块开发，而用户只需要在需要的时候下载适当的模块。

(3) 可以通过权限(permission)的方式在多个程序间共享数据和代码。Android提供了基于数字证书的权限赋予机制，应用程序可以和其他的程序共享概功能或者数据给那那些与自己拥有相同数字证书的程序。如果某个权限(permission)的protectionLevel是signature，则这个权限就只能授予那些跟该权限所在的包拥有同一个数字证书的程序。

在签名时，需要考虑数字证书的有效期 ：

(1)数字证书的有效期要包含程序的预计生命周期，一旦数字证书失效，持有改数字证书的程序将不能正常升级。

(2)如果多个程序使用同一个数字证书，则该数字证书的有效期要包含所有程序的预计生命周期。

(3)Android Market强制要求所有应用程序数字证书的有效期要持续到2033年10月22日以后。

二：Android数字证书包含以下几个要点：

              (1)所有的应用程序都必须有数字证书 ，Android系统不会安装一个没有数字证书的应用程序

              (2)Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证

              (3)如果要正式发布 一个Android ，必须使用一个合适的私钥生成的数字证书来给程序签名 ，而不能使用adt插件 或者ant工具 生成的调试证书来发布。

              (4)数字证书都是有有效期 的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。

              (5)Android使用标准的java工具 Keytool and Jarsigner 来生成数字证书，并给应用程序包签名。

              （6）使用zipalign 优化 程序。

Android 系统不会安装运行任何一款未经数字签名的apk程序，无论是在模拟器上还是在实际的物理设备上。Android的开发工具(ADT插件和Ant)都可以协助开发者给apk程序签名，它们都有两种模式：调试模式(debug mode)和发布模式(release mode)。

在调试模式下，android的开发工具会在每次编译时使用调试用的数字证书给程序签名，开发者无须关心。

当要发布程序时，开发者就需要使用自己的数字证书给apk包签名，可以有两种方法。

(1)在命令行下使用JDK中的和Keytool(用于生成数字证书)和Jarsigner(用于使用数字证书签名)来给apk包签名。

(2)使用ADT Export Wizard进行签名(如果没有数字证书可能需要生成数字证书)。

 

三；两种签名方式

 

 

第一种签名方式， 使用Keytool和Jarsigner给程序签名（ 用于1.5以下版本 ）

命令：keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

该命令中，-keystore ophone.keystore 表示生成的证书，可以加上路径（默认在用户主目录下）；-alias ophone 表示证书的别名是ophone；-keyalg RSA 表示采用的RSA算法；-validity 20000表示证书的有效期是20000天。

image_2.png (80.80 K)

2010-1-17 22:48:46

此时，我们会在互用主目录下看到ophone.keystore，即我们刚刚创建的证书。

 

 

 

 

 

第二种签名方式：现在介绍android 1.5及更新版本的apk签名方式

 

 

1，打开Eclipse->选择你要签名的项目->右击->android tools->Export signed Application package...

2，跳出窗口

 

 

3，project checks 如果核对项目名没有问题的话 点击 Next
然后跳出keystore selection 如果是已经存在keystore的文件就选择然后next 输入keystore的密码进行签名。
如果没有的话选择 create new keystore 然后选择 keystore 保存的位置，设置keystore的密码，点击Next。

 

4.填写keystore的基本信息，如，别名，密码，有效期，姓名，组织，组织名称，所在城市，所在省份，国家等，点击Next

5.选择被签名后的APK保存位置。点击finish。

 

6.就可以在你保存的位置中找到相应的被签名后的APK文件。

 

 

以上的签名只有在ANDROID1.5以及以后的版本适用。谢谢。