也有提到怎么單獨給一個apk簽名，這里補充一下android的簽名權(quán)限控制機制诵竭。

android的標(biāo)準(zhǔn)簽名key有：

? ? ?testkey

? ? ?media

? ? latform

? ? hared

? ? 以上的四種登疗，可以在源碼的/build/target/product/security里面看到對應(yīng)的密鑰回窘，其中shared.pk8代表私鑰冯挎，shared.x509.pem公鑰泉瞻，一定是成對出現(xiàn)的系吭。

? ? 其中testkey是作為android編譯的時候默認(rèn)的簽名key五嫂，如果系統(tǒng)中的apk的android.mk中沒有設(shè)置LOCAL_CERTIFICATE的值，就默認(rèn)使用testkey肯尺。

? ?而如果設(shè)置成：

? ?LOCAL_CERTIFICATE := platform

? ? 就代表使用platform來簽名沃缘，這樣的話這個apk就擁有了和system相同的簽名，因為系統(tǒng)級別的簽名也是使用的platform來簽名则吟，此時使用android:sharedUserId="android.uid.system"才有用孩灯！

? ? ?在/build/target/product/security目錄下有個README，里面有說怎么制作這些key以及使用問題（android4.2）：

? ? ?從上面可以看出來在源碼下的/development/tools目錄下有個make_key的腳本逾滥，通過傳入兩個參數(shù)就可以生成一對簽名用的key峰档。

? ? 其中第一個為key的名字，一般都默認(rèn)成android本身有的寨昙，因為很多地方都默認(rèn)使用了這些名字讥巡，我們自定義的話只需要對第二個參數(shù)動手腳，定義如下：

? ? C ---> Country Name (2 letter code) ST ---> State or Province Name (full name) L ---> Locality Name (eg, city) O ---> Organization Name (eg, company) OU ---> Organizational Unit Name (eg, section) CN ---> Common Name (eg, your name or your server’s hostname) emailAddress ---> Contact email addre

? ? 另外在使用上面的make_key腳本生成key的過程中會提示輸入password舔哪，我的處理是不輸入欢顷，直接enter，不要密碼捉蚤！后面解釋抬驴，用自定義的key替換/security下面的。

? ? 可以看到android源碼里面的key使用的第二個參數(shù)就是上面README里面的缆巧，是公開的布持，所以要release版本的系統(tǒng)的話，肯定要有自己的簽名key才能起到一個安全控制作用陕悬。

? ? 在上面提到如果apk中的編譯選項LOCAL_CERTIFICATE沒有設(shè)置的話题暖，就會使用默認(rèn)的testkey作為簽名key，我們可以修改成自己想要的key捉超，按照上面的步驟制作一個releasekey胧卤，修改android配置在/build/core/config.mk中定義變量：

在主makefile文件里面：

ifeq?($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/releasekey)

? BUILD_VERSION_TAGS?+=?release-key

這樣的話默認(rèn)的所有簽名將會使用releasekey。

修改完之后就要編譯了拼岳，如果上面的這些key在制作的時候輸入了password就會出現(xiàn)如下錯誤：

我在網(wǎng)上找到了合理的解釋：

其實會出現(xiàn)這個錯誤的最根本的原因是多線程的問題枝誊。在編譯的時候為了加速一般都會執(zhí)行make -jxxx，這樣本來需要手動輸入密碼的時候惜纸，由于其它線程的運行叶撒，就會導(dǎo)致影響當(dāng)前的輸入終端绝骚，所以就會導(dǎo)致密碼無法輸入的情況！

再編譯完成之后也可以在build.prop中查看到變量：

這樣處理了之后編譯出來的都是簽名過的了痊乾，系統(tǒng)才算是release版本

我發(fā)現(xiàn)我這樣處理之后，整個系統(tǒng)的算是全部按照我的要求簽名了椭更。

網(wǎng)上看到還有另外的簽名release辦法哪审，但是應(yīng)該是針對另外的版本的，借用學(xué)習(xí)一下：

make?-j4?PRODUCT-product_modul-user?dist

這個怎么跟平時的編譯不一樣,后面多了兩個參數(shù)PRODUCT-product_modul-user 和 dist. 編譯完成之后回在源碼/out/dist/目錄內(nèi)生成個product_modul-target_files開頭的zip文件.這就是我們需要進行簽名的文件系統(tǒng).

我的product_modul 是full_gotechcn,后面加“-user”代表的是最終用戶版本虑瀑，關(guān)于這個命名以及product_modul等可參考http://blog.csdn.net/jscese/article/details/23931159

編譯出需要簽名的zip壓縮包之后湿滓，就是利用/security下面的準(zhǔn)備的key進行簽名了：

./build/tools/releasetools/sign_target_files_apks?-d?/build/target/product/security??out/dist/full_gotechcn-target_files.zip???out/dist/signed_target_files.zi

簽名目標(biāo)文件 輸出成signed_target_files.zi

如果出現(xiàn)某些apk出錯，可以通過在full_gotechcn-target_files.zip前面加參數(shù)"-e =" 來過濾這些apk.

然后再通過image的腳本生成imag的zip文件舌狗，這種方式不適用與我目前的工程源碼叽奥，沒有做過多驗證！

Android簽名機制可劃分為兩部分：（1）ROM簽名機制痛侍；（2）第三方APK簽名機制朝氓。

Android APK實際上是一個jar包，而jar包又是一個zip包主届。APK包的簽名實際上使用的是jar包的簽名機制：在zip中添加一個META的子目錄赵哲，其中存放簽名信息；而簽名方法是為zip包中的每個文件計算其HASH值君丁，得到簽名文件(*.sf)枫夺，然后對簽名文件(.sf)進行簽名并把簽名保存在簽名塊文件(*.dsa)中。

在編譯Android源碼生成ROM的過程中绘闷，會使用build/target/product/security目錄中的4個key（media, platform, shared, testkey）來對apk進行簽名橡庞。其中，*.pk8是二進制形式（DER）的私鑰印蔗，*.x509.pem是對應(yīng)的X509公鑰證書（BASE64編碼）扒最。build/target/product/security目錄中的這幾個默認(rèn)key是沒有密碼保護的，只能用于debug版本的ROM华嘹。

要生成Release版本的ROM扼倘，可先生成TargetFiles，再使用帶密碼的key對TargetFiles重新簽名除呵，最后由重簽名的TargetFiles來生成最終的ROM再菊。

可以使用Android源碼樹中自帶的工具“development/tools/make_key”來生成帶密碼的RSA公私鑰對（實際上是通過openssl來生成的）: $ development/tools/make_key media ‘/C=CN/ST=Sichuan/L=Chengdu/O=MyOrg/OU=MyDepartment/CN=MyName’ 上面的命令將生成一個二進制形式（DER）的私鑰文件“media.pk8”和一個對應(yīng)的X509公鑰證書文件“media.x509.pem”。其中颜曾，/C表示“Country Code”纠拔，/ST表示“State or Province”，/L表示“City or Locality”泛豪，/O表示“Organization”稠诲，/OU表示“Organizational Unit”侦鹏，/CN表示“Name”。前面的命令生成的RSA公鑰的e值為3臀叙，可以修改development/tools/make_key腳本來使用F4 (0×10001)作為e值（openssl genrsa的-3參數(shù)改為-f4）略水。

也可以使用JDK中的keytool來生成公私鑰對，第三方APK簽名一般都是通過keytool來生成公私鑰對的劝萤。

可以使用openssl x509命令來查看公鑰證書的詳細(xì)信息： $ openssl x509 -in media.x509.pem -text -noout or, $ openssl x509 -in media.x509.pem -inform PEM -text -noout

還可以使用JDK中的keytool來查看公鑰證書內(nèi)容渊涝，但其輸出內(nèi)容沒有openssl x509全面： $ keytool -printcert -v -file media.x509.pem

有了key之后，可以使用工具“build/tools/releasetools/sign_target_files”來對TargetFiles重新簽名： $ build/tools/releasetools/sign_target_files_apks -d new_keys_dir -o target_files.zip target_files_resigned.zip 其中床嫌，new_keys_dir目錄中需要有四個key（media, platform, shared, releasekey）跨释。注意：這里的releasekey將代替默認(rèn)的testkey（請參考build/tools/releasetools/sign_target_files腳本實現(xiàn)），也就是說厌处，如果某個apk的Android.mk文件中的LOCAL_CERTIFICATE為testkey鳖谈，那么在生成TargetFiles時是使用的build/target/product/security/testkey來簽名的，這里重新簽名時將使用new_keys_dir/releasekey來簽名阔涉。

uild/tools/releasetools/sign_target_files_apks是通過host/linux-x86/framework/signapk.jar來完成簽名的缆娃。也可以直接使用host/linux-x86/framework/signapk.jar來對某個apk進行簽名： $ java -jar signapk [-w] publickey.x509[.pem] privatekey.pk8 input.jar output.jar 其中，”-w”表示還對整個apk包(zip包）進行簽名瑰排，并把簽名放在zip包的comment中龄恋。

對于第三方應(yīng)用開發(fā)者而言，對APK簽名相對要簡單得多凶伙。第三方應(yīng)用開發(fā)一般采用JDK中的keytool和jarsigner來完成簽名密鑰的管理和APK的簽名郭毕。

使用keytool來生成存儲有公私鑰對的keystore： $ keytool -genkey -v -keystore my-release-key.keystore -alias mykey -keyalg RSA -keysize 2048 -validity 10000

查看生成的密鑰信息： $ keytool -list -keystore my-release-key.keystore -alias mykey -v or, $ keytool -list -keystore my-release-key.keystore -alias mykey -rfc （注：獲取Base64格式的公鑰證書，RFC 1421）

導(dǎo)出公鑰證書： $ keytool -export -keystore mystore -alias mykey -file my.der （注：二進制格式公鑰證書函荣，DER） $ keytool -export -keystore mystore -alias mykey -file my.pem -rfc （注：Base64格式公鑰證書显押，PEM）

對APK進行簽名： $ jarsigner -verbose -keystore my-release-key.keystore my_application.apk mykey

驗證簽名： $ jarsigner -verify -verbose -certs my_application.apk

在進行Android二次開發(fā)時，有時需要把build/target/product/security下面的公私鑰對轉(zhuǎn)換為keystore的形式傻挂，可以參考這篇文章：把Android源碼中的密碼對轉(zhuǎn)換為keystore的方法乘碑。