|
基本签名流程:
验证签名java -jar apksigner.jar verify -v inputName.apk
读签名文件:keytool.exe -list -v -keystore ./meme.jks -storepass 123456 ? ?从输出中拿到别名
对齐包:zipalign.exe -p -v 4 input.apk output.apk ? 按4字节将输入包对齐,防止后面签名出错
V2签名命令:java.exe -jar apksigner.jar sign -verbose --ks SVC-release-key.keystore --v1-signing-enabled false --v2-signing-enabled true --v3-signing-enabled false --ks-pass pass:20160523 --ks-key-alias svckey(别名) --key-pass pass:123456 --out outputName.apk --in inputName.apk
读取apk包的MD5值
java -jar CheckAndroidSignature.jar app-release_signed.apk
{"ret":0,"msg":"","isV1OK":false,"isV2":true,"isV2OK":true,"isV3":false,"isV3OK":false,"keystoreMd5":"b72b16517a4a98e9bb93b4f86a74f0ae"}
v1签名:
v1签名会校验 APK 中每个文件的合法性,但并不包含META-INF目录中的文件,而且也不能保护 APK 的某些部分,例如 ZIP 元数据。
v2签名:
与v1签名对压缩包内的部分文件进行保护不同,v2签名是一种全文件签名方案,使用 方案 v2 进行签名时,会在 APK 文件中插入一个 APK 签名分块,该分块位于“ZIP 中央目录”部分之前并紧邻该部分。在“APK 签名分块”内,v2 签名和签名者身份信息会存储在 APK 签名方案 v2 分块中
渠道包方案:
早期使用的在zip文件的注释部分写入渠道信息的方案,对于v2签名显然是不可行的,会导致签名验证不通过。但是v2签名引入了“签名块”,“签名块”中包含了很多“ID-值”对,我们可以添加一个自己的“ID-值”对,值就是渠道信息,要获取渠道的时候通过我们自定义的ID去找到就行了,v2签名后walle的新版本就是基于这个原理。
v3签名:
对于一款上架的 App,当签名失效之后,我们只能被迫换签名,此时因为签名校验无法通过,就会导致旧用户无法覆盖安装。这些历史用户唯一的选择,就是卸载后重新安装,这个代价显然是太大了。
Android 9 支持 APK 密钥轮转,这使应用能够在 APK 更新过程中更改其签名密钥。
Proof-of-rotation 结构位于signed data的“其他属性”中,ID 为0x3ba06f8c,其中包含一个单链表,每个节点都包含用于为之前版本的应用签名的签名证书。该单链表按版本排序,最旧的签名证书对应于根节点。系统会让每个节点中的证书为列表中的下一个证书签名,从而为每个新密钥提供证据来证明它应该像旧密钥一样可信。
1>创建证书链
1. 创建新的可用证书链:
java -jar apksigner.jar rotate --out /path/to/new/file --old-signer --ks release.jks \
? ? --new-signer --ks release2.jks
2. 向证书链中添加新的证书:
java -jar apksigner.jar rotate --in /path/to/existing/lineage --out /path/to/new/file \
? ? --old-signer --ks release2.jks --new-signer --ks release3.jks
3. 创建新的证书,设置新证书是否使用原来证书的数据:
java -jar apksigner.jar rotate --out /path/to/new/file --old-signer --ks release.jks \
? ? --set-installed-data true --set-shared-uid true --set-permission true --set-rollback false \
? ? --set-auth true --new-signer --ks release2.jks
1. 使用唯一秘钥进行签名:
java -jar apksigner.jar sign --ks release.jks --in app.apk --out app-signed.apk
4. 使用两个签名文件进行签名:
java -jar apksigner.jar sign --ks release.jks --next-signer --ks magic.jks app.apk
8. 使用签名证书链对apk进行签名:
java -jar apksigner.jar sign --ks release.jks --next-signer --ks release2.jks \
? ? --lineage /path/to/signing/history/lineage app.apk
?? ?
?? ?
命令验证:
1>使用两个证书生成证书链:成功
java -jar apksigner.jar rotate -verbose --out linechain --old-signer --ks whale-yh.jks --ks-pass pass:soundWhale --ks-key-alias whale --key-pass pass:soundWhale --new-signer --ks ijiami.keystore --ks-pass pass:ijiami --ks-key-alias ijiami --key-pass pass:ijiami
2>向旧的证书链中添加新的证书,生成新的证书链:成功
java -jar apksigner.jar rotate -verbose --in linechain --out outlinechain --old-signer --ks ijiami.keystore --ks-pass pass:ijiami --ks-key-alias ijiami --key-pass pass:ijiami --new-signer --ks three-hj.jks --ks-pass pass:ijiami --ks-key-alias key0 --key-pass pass:ijiami?? ?
3>使用包含两个证书的证书链进行签名:成功(签名成功,覆盖安装成功)
java -jar apksigner.jar sign -verbose --ks whale-yh.jks --ks-pass pass:soundWhale --ks-key-alias whale --key-pass pass:soundWhale --next-signer --ks ijiami.keystore --ks-pass pass:ijiami --ks-key-alias ijiami --key-pass pass:ijiami --lineage linechain --v1-signing-enabled true --v2-signing-enabled true --v3-signing-enabled true --in snjr_signed_signed.apk --out app-signed-all.apk
4>使用包含三个证书的证书链进行签名:成功 (签名成功,覆盖安装成功),起始节点,请使用根证书
java -jar apksigner.jar sign -verbose --ks whale-yh.jks --ks-pass pass:soundWhale --ks-key-alias whale --key-pass pass:soundWhale --next-signer --ks three-hj.jks --ks-pass pass:ijiami --ks-key-alias key0 --key-pass pass:ijiami --lineage outlinechain --v1-signing-enabled true --v2-signing-enabled true --v3-signing-enabled true --in snjr_signed_signed.apk --out app-signed-all.apk
5>使用最新包单证书签名的包覆盖多证书包:成功(签名成功,覆盖安装成功)
java -jar apksigner.jar sign -verbose --ks three-hj.jks --ks-pass pass:ijiami --ks-key-alias key0 --key-pass pass:ijiami ?--v1-signing-enabled true --v2-signing-enabled true --v3-signing-enabled false --in snjr_signed_signed.apk --out app-Three.apk
|