Android-APK簽名工具-jarsigner和apksigner
阿新 • • 發佈:2019-01-01
一.工具介紹
jarsigner是JDK提供的針對jar包簽名的通用工具,
位於JDK/bin/jarsigner.exe
apksigner是Google官方提供的針對Android apk簽名及驗證的專用工具,
位於Android SDK/build-tools/SDK版本/apksigner.bat
不管是apk包,還是jar包,本質都是zip格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),
以上兩個工具都可以對Android apk包進行簽名.
1.V1和V2簽名的區別
在Android Studio中點選選單 Build->Generate signed apk... 打包簽名過程中, 可以看到兩種簽名選項 V1(Jar Signature) V2(Full APK Signature), 剛開始升級AS看到這個懵了,既然是APK Signature,就放心偷懶選了V2,結果安裝失敗???無奈,只能查資料... 從Android 7.0開始, 谷歌增加新簽名方案 V2 Scheme (APK Signature); 但Android 7.0以下版本, 只能用舊簽名方案 V1 scheme (JAR signing) V1簽名: 來自JDK(jarsigner), 對zip壓縮包的每個檔案進行驗證, 簽名後還能對壓縮包修改(移動/重新壓縮檔案) 對V1簽名的apk/jar解壓,在META-INF存放簽名檔案(MANIFEST.MF, CERT.SF, CERT.RSA), 其中MANIFEST.MF檔案儲存所有檔案的SHA1指紋(除了META-INF檔案), 由此可知: V1簽名是對壓縮包中單個檔案簽名驗證 V2簽名: 來自Google(apksigner), 對zip壓縮包的整個檔案驗證, 簽名後不能修改壓縮包(包括zipalign), 對V2簽名的apk解壓,沒有發現簽名檔案,重新壓縮後V2簽名就失效, 由此可知: V2簽名是對整個APK簽名驗證 V2簽名優點很明顯: 簽名更安全(不能修改壓縮包) 簽名驗證時間更短(不需要解壓驗證),因而安裝速度加快 注意: apksigner工具默認同時使用V1和V2簽名,以相容Android 7.0以下版本
2.zipalign和V2簽名
位於Android SDK/build-tools/SDK版本/zipalign.exe
zipalign 是對zip包對齊的工具,使APK包內未壓縮的資料有序排列對齊,從而減少APP執行時記憶體消耗
zipalign -v 4 in.apk out.apk //4位元組對齊優化
zipalign -c -v 4 in.apk //檢查APK是否對齊
zipalign可以在V1簽名後執行
但zipalign不能在V2簽名後執行,只能在V2簽名之前執行!!!
二.簽名步驟
1.生成金鑰對(已有金鑰庫,可忽略)
Eclipse或Android Studio在Debug時,對App簽名都會使用一個預設的金鑰庫: 預設在C:\Users\使用者名稱\.android\debug.keystore 金鑰庫名: debug.keystore 金鑰別名: androiddebugkey 金鑰庫密碼: android 1.生成金鑰對 進入JDK/bin, 輸入命令 keytool -genkeypair -keystore 金鑰庫名 -alias 金鑰別名 -validity 天數 -keyalg RSA 引數: -genkeypair 生成一條金鑰對(由私鑰和公鑰組成) -keystore 金鑰庫名字以及儲存位置(預設當前目錄) -alias 金鑰對的別名(金鑰庫可以存在多個金鑰對,用於區分不同金鑰對) -validity 金鑰對的有效期(單位: 天) -keyalg 生成金鑰對的演算法(常用RSA/DSA,DSA只用於簽名,預設採用DSA) -delete 刪除一條金鑰 提示: 可重複使用此條命令,在同一金鑰庫中建立多條金鑰對 例如: 在debug.keystore中新增一對金鑰,別名是release keytool -genkeypair -keystore debug.keystore -alias release -validity 30000 2.檢視金鑰庫 進入JDK/bin, 輸入命令 keytool -list -v -keystore 金鑰庫名 引數: -list 檢視金鑰列表 -v 檢視金鑰詳情 例如: keytool -list -v -keystore debug.keystore 現在debug.keystore金鑰庫中有兩對金鑰, 別名分別是androiddebugkey release
2.簽名
1.方法一(jarsigner,只支援V1簽名) 進入JDK/bin, 輸入命令 jarsigner -keystore 金鑰庫名 xxx.apk 金鑰別名 從JDK7開始, jarsigner預設演算法是SHA256, 但Android 4.2以下不支援該演算法, 所以需要修改演算法, 新增引數 -digestalg SHA1 -sigalg SHA1withRSA jarsigner -keystore 金鑰庫名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 金鑰別名 引數: -digestalg 摘要演算法 -sigalg 簽名演算法 例如: 用JDK7及以上jarsigner簽名,不支援Android 4.2 以下 jarsigner -keystore debug.keystore MyApp.apk androiddebugkey 用JDK7及以上jarsigner簽名,相容Android 4.2 以下 jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey 2.方法二(apksigner,默認同時使用V1和V2簽名) 進入Android SDK/build-tools/SDK版本, 輸入命令 apksigner sign --ks 金鑰庫名 --ks-key-alias 金鑰別名 xxx.apk 若金鑰庫中有多個金鑰對,則必須指定金鑰別名 apksigner sign --ks 金鑰庫名 --ks-key-alias 金鑰別名 xxx.apk 禁用V2簽名 apksigner sign --v2-signing-enabled false --ks 金鑰庫名 xxx.apk 引數: --ks-key-alias 金鑰別名,若金鑰庫有一個金鑰對,則可省略,反之必選 --v1-signing-enabled 是否開啟V1簽名,預設開啟 --v2-signing-enabled 是否開啟V2簽名,預設開啟 例如: 在debug.keystore金鑰庫只有一個金鑰對 apksigner sign --ks debug.keystore MyApp.apk 在debug.keystore金鑰庫中有多個金鑰對,所以必須指定金鑰別名 apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk
3.簽名驗證
1.方法一(keytool,只支援V1簽名校驗)
進入JDK/bin, 輸入命令
keytool -printcert -jarfile MyApp.apk (顯示簽名證書資訊)
引數:
-printcert 列印證書內容
-jarfile <filename> 已簽名的jar檔案 或apk檔案
2.方法二(apksigner,支援V1和V2簽名校驗)
進入Android SDK/build-tools/SDK版本, 輸入命令
apksigner verify -v --print-certs xxx.apk
引數:
-v, --verbose 顯示詳情(顯示是否使用V1和V2簽名)
--print-certs 顯示簽名證書資訊
例如:
apksigner verify -v MyApp.apk
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Number of signers: 1