android系统签名及修改

大家好，又见面了，我是你们的朋友全栈君。

系统签名文件目录：
build/make/target/product/security

主要签名文件

media.pk8
media.x509.pem

networkstack.pk8
networkstack.x509.pem

platform.pk8
platform.x509.pem

releasekey.pk8
releasekey.x509.pem

shared.pk8
shared.x509.pem

testkey.pk8
testkey.x509.pem

verity_key
verity.pk8
verity.x509.pem

各类签名说明：
    platform:平台的核心应用签名，签名的apk是完成系统的核心功能。这些apk所在的进程UID是system。manifest节点中有添加android:sharedUserId=”android.uid.system”。
    media: 这个签名的apk是media/download的一部分。manifest节点中有添加android:sharedUserId=”android.media”。
    shared:这个签名的apk可以和home/contacts进程共享数据。manifest节点中有添加android:sharedUserId=”android.uid.shared”。
    testkey/releasekey:平台默认key。在编译中未指定LOCAL_CERTIFICATE的，默认是用testkey。因为testkey是公开的，任何人都可以获取，不安全，所以一般使用自己创建releasekey作为默认key。

.pk8 与 .x509.pem
.pk8就是私钥文件，用于对apk进行签名。
.x509.pem是证书文件，相当于公钥。主要用于验证某个apk是否由相应的私钥签名。

在系统中配置和使用：
build/make/core/config.mk中

   ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
      DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
   else
      DEFAULT_SYSTEM_DEV_CERTIFICATE := build/make/target/product/security/testkey
   endif

如果配置了PRODUCT_DEFAULT_DEV_CERTIFICATE，则使用PRODUCT_DEFAULT_DEV_CERTIFICATE。
否则使用build/make/target/product/security/testkey。

    system/sepolicy/private/keys.conf中
        [@PLATFORM]
   ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/platform.x509.pem

[@MEDIA]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/media.x509.pem

[@NETWORK_STACK]
ALL : $MAINLINE_SEPOLICY_DEV_CERTIFICATES/networkstack.x509.pem

[@SHARED]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/shared.x509.pem

   # Example of ALL TARGET_BUILD_VARIANTS
   [@RELEASE]
   ENG       : $DEFAULT_SYSTEM_DEV_CERTIFICATE/testkey.x509.pem
   USER      : $DEFAULT_SYSTEM_DEV_CERTIFICATE/testkey.x509.pem
   USERDEBUG : $DEFAULT_SYSTEM_DEV_CERTIFICATE/testkey.x509.pem

Android.mk使用LOCAL_CERTIFICATE指定签名文件
如：LOCAL_CERTIFICATE := platform

APK签名查看：
keytool -printcert -jarfile DKSystemManager.apk
签名者 #1:

签名:

   所有者: EMAILADDRESS=zyfzhangyafei@163.com, CN=blackview, OU=blackview, O=blackview, L=sz, ST=gd, C=cn
   发布者: EMAILADDRESS=zyfzhangyafei@163.com, CN=blackview, OU=blackview, O=blackview, L=sz, ST=gd, C=cn
   序列号: 98d0393b4632d805
   有效期为 Mon Feb 21 15:46:24 CST 2022 至 Fri Jul 09 15:46:24 CST 2049
   证书指纹:
       MD5: C5:DD:3B:32:18:81:30:BA:69:AF:C5:91:5F:00:C0:0D:49:34:61:3B
       SHA1: EA:50:DE:80:A8:4F:91:0C:52:8D:2F:75:B6:33:A6:CD:F9:DE:94:F6:4A:1C:13:A0:D7:9A:CD:DC:1D:20:F8:15
       SHA256: SHA256withRSA
   签名算法名称: 2048 位 RSA 密钥
   主体公共密钥算法: 3
   版本: {10}

生成签名：
1.生成长度为2048位的RSA私钥

openssl genrsa -3 -out test.pem 2048

2.生成x509格式的公钥证书
openssl req -new -x509 -key test.pem -out test.x509.pem -days 10000

3.生成符合PKCS8标注的私钥文件
openssl pkcs8 -in test.pem -topk8 -outform DER -out test.pk8 -nocrypt

   verity_key生成方法：
    先执行上面三步，生成veritykey.x509.pem veritykey.pk8
    1、make generate_verity_key (mmm system/extras/verity/)

    2、执行 out/host/linux-x86/bin/generate_verity_key -convert veritykey.x509.pem verity_key

验证key:
openssl x509 -noout -subject -issuer -in media.x509.pem

   输出
   subject= /C=cn/ST=gd/L=sz/O=blackview/OU=blackview/CN=blackview/emailAddress=zyfzhangyafei@163.com
   issuer= /C=cn/ST=gd/L=sz/O=blackview/OU=blackview/CN=blackview/emailAddress=zyfzhangyafei@163.com

系统key文件生成keystore

生成keystore文件主要是给外部apk开发签名使用的；

以常用的platform签名为例：

//如果之前没有生成platform.pem文件，现在可以执行以下命令生成

openssl pkcs8 -inform DER -nocrypt -in platform.pk8 -out platform.pem

//生成platform.p12文件，设置对应的密码和alias名(app签名使用到)

openssl pkcs12 -export -in platform.x509.pem -out platform.p12 -inkey platform.pem -password pass:密码 -name 名称

//生成platform.jks(app使用的签名文件)，启动

keytool -importkeystore -deststorepass 密码 -destkeystore ./platform.keystore -srckeystore ./platform.p12 -srcstoretype PKCS12 -srcstorepass 密码

//剩下的就是将platform.jks拷贝到app工程目录下设置alias名和密码即可

最终的platform.keystore即为我们所要的keystore

发布者：全栈程序员-用户IM，转载请注明出处：https://javaforall.cn/151972.html原文链接：https://javaforall.cn