背景
最近因为坑爹的oppo r9s导致自己做的android性能搜集apk因为权限原因搜集不到系统进程mediaserver的消息,大佬一怒之下让我去搞个系统签名。
但是之前在某手机厂商做这个东西的时候,根本不需要什么技术含量,只需要在AndroidManifest.xml文件里面加上shardUid,如下:
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.xxx.xxx"
android:sharedUserId="android.uid.system">
然后挂到jenkins去构建一下即可。。。然而,去来混迟早要还的。。。之前不了解系统签名是怎么搞的,只好自己慢慢去摸索了。
思考
按照之前的经验,就是先把sharedUserId加上去,先试一下怎么样。。不出所料,果然在oppo上面安装失败了。
所以还是要去找一下怎么搞定这个系统签名
然后上网查看一下,参考了这篇文章
http://www.jianshu.com/p/47265c8899b5
提及了三种签名方式:
1.修改android源码
2.手动用signapk去编译
3.用android studio以及import tool去编译
分析了一下,第一种方法可行性太低。。。
第二种的话,需要了解一下android apk 的二次打包是个什么东西,要不然可能会有坑
第三种应该算是比较靠谱的解决方式了,下面就开始自己试一下
步骤
1.获得系统签名文件
如果需要系统编译的话,需要到指定的android build 的build/target/product/security 文件夹下面去找这两个文件
- platform.x509.pem
- platform.pk8
为什么需要这两个文件?
了解这个首先需要了解x509到底是什么,搜google x509 certificate可以到wikipedia那里找到概念描述https://en.wikipedia.org/wiki/X.509
其实x509就是证书的一种标准格式,主要用于SSL/TSL的通信,也会用到离线应用的验证,里面包含了公钥信息和颁发者的信息,颁发者可以是个人也可以是某个机构。
而PEM是一种编码证书的编码格式,可以包含一系列的key和x509证书
可想而知pk8对应的应该就是私钥存放的格式,全称是PKCS 8 - Public-Key Cryptography Standards (PKCS)(https://en.wikipedia.org/wiki/PKCS) published by RSA Laboratories.
那么回答为什么需要这两个文件就显而易见了,这个是针对platform应用签名的公私钥对
2.生成自己的签名文件
在Android Studio里面按照步骤生成一份jks文件,具体怎么操作就不细讲了。
什么是jsk文件?
jsk其实就是java定下来定一套私钥、证书格式文件,好像生成需要有而外的密码,别名什么的信息。应该是和pem\pk8文件相互转化的
3.用工具把系统签名文件导入自己的签名文件
貌似参考文章有些坑爹,似乎是不用生成自己的签名文件的,这个工具只不过是把pem\pk8文件转换成一个jks文件而已
对于博文里面说到要把命令放在一个sh文件里也是很扯淡的,直接执行命令就可以了
工具:https://github.com/getfatday/keytool-importkeypair
这里有个使用参考http://www.cnblogs.com/platte/p/3511814.html
命令格式:
./keytool-importkeypair -k myJks.jks -p 123456 -pk8 platform.pk8 -cert platform.x509.pem -alias MySign
然后就会生成你的jks文件了
那么问题来了,怎么保证我的pem,pk8成功转换成了jks呢?
其实这个问题很好解决,我们只要找工具去看一下我们pem,pk8的信息和jks的信息是不是对的上就可以了。
那么问题又定向到了什么工具可以查看这些信息呢?
在你安装jdk的时候,sun公司已经提供了keytool这一个工具了,这个工具不仅可以产生秘钥对,也可以查看我们的key值是什么。所以只要你的JAVA_HOME和PATH配置好了,就可以直接在命令行里使用了
查看jks : keytool -list -v -keystore [~/keystore文件夹/keystore.jks] -storepass 123456
注意上面-keystore后面必须要跟jks文件的绝对路径
查看pem:keytool -printcert -file [pem绝对路径]
然后目前我看到在keystore里面的文件的一大段和pem都是一样的,虽然不知道那一堆那些是公钥。还是说公钥就是整个文件?后面再搞清楚吧,现在只要直到这个工具是真的ok就行了
4.用新的签名文件构建apk
在android studio 里面配置,网上的教程一搜一大堆啦。其实就是在app里面的build.gradle配置下面的这段
signingConfigs {
release {
storeFile file("/xxx/myJks.jks")
storePassword '123456'
keyAlias 'MySign'
keyPassword '123456'
}
debug {
storeFile file("/xxx/myJks.jks")
storePassword '123456'
keyAlias 'MySign'
keyPassword '123456'
}
}
如果想要直接生成release的还要再改一下build之类的参数
5.安装apk
然后就是安装apk了,这里单独把安装apk拿出来说,是想着说安装的时候是涉及到PackageManager这个东西的。
因为留意到当点击android studio里面的run按钮的时候,run那个窗口会出现一系列的adb 命令,其中有一条就是pm install xxx.apk。说明其实我们在android studio里安装apk到手机本质上也是调用命令的。
那么思维拓展一下,在手机里点击安装apk,应该也是调用pm这个service的。那么签名的验证过程不出所料也是在PackageManagerService里面做的,所以后续会写多篇博文来研究一下相应的源码,主要是博客上面转载的太多了,都不知道转载的博主有没有思考过。
问题
1.安装失败究竟是什么原因?
留意到安装报错的源码是在packageManagerService里面校验系统应用签名时包的错,所以猜想可能的原因有:
- 找的秘钥错了,因为我的秘钥是从aosp上面给刮下来的,跟oppo的对不上
- 我签名的apk有没有问题
对于第一点应该是最有可能的,因为oppo应该会定制过他们系统应用的key的。
第二点的话,对应了pem和jks的内容应该是没差的。
总结
每个ODM他们的platform签名对应该是定制过的,所以我们拿aosp里面对应的key去签名应该是不可行的。在系统签名校验的时候会通不过,如果是自己玩玩原生的系统的话应该是没问题的