一.工具介紹
jarsigner是JDK提供的針對jar包簽名的通用工具,
位於JDK/bin/jarsigner.exe
apksigner是Google官方提供的針對Android apk簽名及驗證的專用工具,
位於Android SDK/build-tools/SDK版本/apksigner.bat
不管是apk包,還是jar包,本質都是zip格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),
以上兩個工具都可以對Android apk包進行簽名.
1.V1和V2簽名的區別
在Android Studio中點擊菜單 Build->Generate signed apk... 打包簽名過程中,
可以看到兩種簽名選項 V1(Jar Signature) V2(Full APK Signature),
剛開始升級AS看到這個懵了,既然是APK Signature,就放心偷懶選了V2,結果安裝失敗???無奈,只能查資料...
從Android 7.0開始, 谷歌增加新簽名方案 V2 Scheme (APK Signature);
但Android 7.0以下版本, 只能用舊簽名方案 V1 scheme (JAR signing)
V1簽名:
- 來自JDK(jarsigner), 對zip壓縮包的每個文件進行驗證, 簽名后還能對壓縮包修改(移動/重新壓縮文件)
- 對V1簽名的apk/jar解壓,在META-INF存放簽名文件(MANIFEST.MF, CERT.SF, CERT.RSA),
- 其中MANIFEST.MF文件保存所有文件的SHA1指紋(除了META-INF文件), 由此可知: V1簽名是對壓縮包中單個文件簽名驗證
V2簽名:
- 來自Google(apksigner), 對zip壓縮包的整個文件驗證, 簽名后不能修改壓縮包(包括zipalign),
- 對V2簽名的apk解壓,沒有發現簽名文件,重新壓縮后V2簽名就失效, 由此可知: V2簽名是對整個APK簽名驗證
V2簽名優點很明顯:
- 簽名更安全(不能修改壓縮包)
- 簽名驗證時間更短(不需要解壓驗證),因而安裝速度加快
注意: apksigner工具默認同時使用V1和V2簽名,以兼容Android 7.0以下版本
2.zipalign和V2簽名
位於Android SDK/build-tools/SDK版本/zipalign.exe
zipalign 是對zip包對齊的工具,使APK包內未壓縮的數據有序排列對齊,從而減少APP運行時內存消耗
|
1
2
|
zipalign -v
4
in.apk out.apk
//4字節對齊優化
zipalign -c -v
4
in.apk
//檢查APK是否對齊
|
zipalign可以在V1簽名后執行
但zipalign不能在V2簽名后執行,只能在V2簽名之前執行!!!
二.簽名步驟
1.生成密鑰對(已有密鑰庫,可忽略)
Eclipse或Android Studio在Debug時,對App簽名都會使用一個默認的密鑰庫:
- 默認在C:\Users\用戶名\.android\debug.keystore
- 密鑰庫名: debug.keystore
- 密鑰別名: androiddebugkey
- 密鑰庫密碼: android
1.生成密鑰對
進入JDK/bin, 輸入命令
keytool -genkeypair -keystore 密鑰庫名 -alias 密鑰別名 -validity 天數 -keyalg RSA
參數:
-genkeypair 生成一條密鑰對(由私鑰和公鑰組成)
-keystore 密鑰庫名字以及存儲位置(默認當前目錄)
-alias 密鑰對的別名(密鑰庫可以存在多個密鑰對,用於區分不同密鑰對)
-validity 密鑰對的有效期(單位: 天)
-keyalg 生成密鑰對的算法(常用RSA/DSA,DSA只用於簽名,默認采用DSA)
-delete 刪除一條密鑰
提示: 可重復使用此條命令,在同一密鑰庫中創建多條密鑰對
例如:
在debug.keystore中新增一對密鑰,別名是release
|
1
|
keytool -genkeypair -keystore debug.keystore -alias release -validity
30000
|
2.查看密鑰庫
進入JDK/bin, 輸入命令
keytool -list -v -keystore 密鑰庫名
參數:
-list 查看密鑰列表
-v 查看密鑰詳情
例如:
|
1
|
keytool -list -v -keystore debug.keystore
|
現在debug.keystore密鑰庫中有兩對密鑰, 別名分別是androiddebugkey release
2.簽名
1.方法一(jarsigner,只支持V1簽名)
進入JDK/bin, 輸入命令
jarsigner -keystore 密鑰庫名 xxx.apk 密鑰別名
從JDK7開始, jarsigner默認算法是SHA256, 但Android 4.2以下不支持該算法,
所以需要修改算法, 添加參數 -digestalg SHA1 -sigalg SHA1withRSA
jarsigner -keystore 密鑰庫名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密鑰別名
參數:
-digestalg 摘要算法
-sigalg 簽名算法
例如:
用JDK7及以上jarsigner簽名,不支持Android 4.2 以下
|
1
|
jarsigner -keystore debug.keystore MyApp.apk androiddebugkey
|
用JDK7及以上jarsigner簽名,兼容Android 4.2 以下
|
1
|
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey
|
2.方法二(apksigner,默認同時使用V1和V2簽名)
進入Android SDK/build-tools/SDK版本, 輸入命令
apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk
若密鑰庫中有多個密鑰對,則必須指定密鑰別名
apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk
禁用V2簽名
|
1
|
apksigner sign --v2-signing-enabled
false
--ks 密鑰庫名 xxx.apk
|
參數:
--ks-key-alias 密鑰別名,若密鑰庫有一個密鑰對,則可省略,反之必選
--v1-signing-enabled 是否開啟V1簽名,默認開啟
--v2-signing-enabled 是否開啟V2簽名,默認開啟
例如:
在debug.keystore密鑰庫只有一個密鑰對
|
1
|
apksigner sign --ks debug.keystore MyApp.apk
|
在debug.keystore密鑰庫中有多個密鑰對,所以必須指定密鑰別名
|
1
|
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk
|
3.簽名驗證
1.方法一(keytool,只支持V1簽名校驗)
進入JDK/bin, 輸入命令
|
1
|
keytool -printcert -jarfile MyApp.apk (顯示簽名證書信息)
|
參數:
-printcert 打印證書內容
-jarfile <filename> 已簽名的jar文件 或apk文件
2.方法二(apksigner,支持V1和V2簽名校驗)
進入Android SDK/build-tools/SDK版本, 輸入命令
|
1
|
apksigner verify -v --print-certs xxx.apk
|
參數:
-v, --verbose 顯示詳情(顯示是否使用V1和V2簽名)
--print-certs 顯示簽名證書信息
例如:
|
1
|
apksigner verify -v MyApp.apk
|
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Number of signers: 1