签名对你的App的影响。
你不可能只做一个APP,你可能有一个宏伟的战略工程,想要在生活,服务,游戏,系统各个领域都想插足的话,你不可能只做一个APP,谷歌建议你把你所有的APP都使用同一个签名证书。
使用你自己的同一个签名证书,就没有人能够覆盖你的应用程序,即使包名相同,所以影响有:
1) App升级。 使用相同签名的升级软件可以正常覆盖老版本的软件,否则系统比较发现新版本的签名证书和老版本的签名证书不一致,不会允许新版本安装成功的。
2) App模块化。android系统允许具有相同的App运行在同一个进程中,如果运行在同一个进程中,则他们相当于同一个App,但是你可以单独对他们升级更新,这是一种App级别的模块化思路。
3) 允许代码和数据共享。android中提供了一个基于签名的Permission标签。通过允许的设置,我们可以实现对不同App之间的访问和共享,如下:
AndroidManifest.xml:<permission android:protectionLevel="normal" />
一个证书是某一实体(个人,公司等)的数字签名,指出其他实体的公共钥匙(或其他信息)的详细的值.当数据被签名后,这个签名信息被用来检验数据的完整性和真实性.完整性指数据没有被修改和篡改,真实性指数据从任何产生和签名的一方真正的传输到达.
keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.
而另外的一个工具jarsigner用keystore中的信息产生或检验java archive(jar文件)中的数字签名.
keystore有两个不同的入口:
1.钥匙入口:保存了非常敏感的加密的钥匙信息,并且是用一个保护的格式存储以防止未被授权的访问.以这种形式存储的钥匙是秘密钥匙,或是一个对应证书链中公有钥匙的私有钥匙.
2.信任证书入口:包含一个属于其他部分的单一公共钥匙证书.它之所以被称为"信任证书",是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别.
keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问.别名是 不区分大小写的.如别名hugo和hugo指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名.也可以用-import参数加一个证书或证书链到信任证书.
如:
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke为别名,dukekeypasswd为duke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将旧密码dukekeypasswd改为newpass.
keystore的产生:
1.当使用-genkey 或-import或-identitydb命令添加数据到一个keystore,而当这个keystore不存在时,产生一个keystore.默认名是.keystore,存放到user-home目录.
2.当用-keystore指定时,将产生指定的keystore.
keystore的实现:
keytool 类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个gui工具policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"jks".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.
支持的算法和钥匙大小:
keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法.缺省的钥匙对产生算法是"dsa".假如私有钥匙是"dsa"类型,缺省签名算法是"sha1withdsa",假如私有钥匙是"rsa"类型,缺省算法是"md5withrsa".
当产生一个dsa钥匙对,钥匙必须在512-1024位之间.对任何算法的缺省钥匙大小是1024位.
证书:
一个证书是一个实体的数字签名,指出其他实体的公共钥匙有明确的值.
1.公共钥匙 :是同一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
2.数字签名:假如数据已被签名,并用身份存储在一个实体中,一个签名能够证明这个实体知道这个数据.这个数据用实体私有钥匙签名并递交;
3.身份:知道实体的方法.在一些系统中身份是公共钥匙,其他系统中可以是从一个x.509名字的邮件地址的unix uid来的任何东西;
4.签名:一个签名用用实体私有钥匙来计算某些加密数据;
5.私有钥匙:是一些数字,每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道.私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.一个公共钥匙加密(如dsa),一个私有钥匙与一个正确的公共钥匙通信.私有钥匙用来计算签名.
6.实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
keytool应用实例:
1.产生一个keystore:
keytool -genkey -alias user(keystore的别名) -keyalg rsa -validity 7 -keystore keystore(指定keystore).
运行这个命令,系统提示:
enter keystore password:yourpassword(输入密码)
what is your first and last name?
[unknown]: your name(输入你的名字)
what is the name of your organizational unit?
[unknown]:your organizational(输入你所在组织单位的名字)
what is the name of your organization?
[unknown]:your organization name (输入你所在组织的名字)
what is the name of your city or locality?
[unknown]:your city name(输入所在城市的名字)
what is the name of your state or province?
[unknown]:your provice name(输入所在省份名字)
what is the two-letter country code for this unit?
[unknown]:cn(输入国家名字)
is cn=your name, ou=your organizaion, o="your organization name",
l=your city name, st=your province name, c=cn correct?
[no]: yes
2.检查一个keystore:
keytool -list -v -keystore keystore
enter keystore password:your password(输入密码)
将显示keystore內容如:
keystore type: jks
keystore provider: sun
your keystore contains 1 entry
alias name: yourname
creation date: dec 20, 2001
entry type: keyentry
certificate chain length: 1
certificate[1]:
owner: cn=yourname, ou=your organization, o="your organization name",
l=your city name, st=your province name, c=cn
issuer: cn=duke, ou=java software, o="sun microsystems, inc.", l=palo alto, st=ca, c=us
serial number: 3c22adc1
valid from: thu dec 20 19:34:25 pst 2001 until: thu dec 27 19:34:25 pst 2001
certificate fingerprints:
md5: f1:5b:9b:a1:f7:16:cf:25:cf:f4:ff:35:3f:4c:9c:f0
sha1: b2:00:50:dd:b6:cc:35:66:21:45:0f:96:aa:af:6a:3d:e4:03:7c:74
3.输出keystore到一个文件:testkey:
keytool -export -alias duke -keystore keystore -rfc -file testkey
系统输出:
enter keystore password:your password(输入密码)
certificate stored in file
4.输入证书到一个新的truststore:
keytool -import -alias dukecert -file testkey -keystore truststore
enter keystore password:your new password.(输入truststore新密码)
5.检查truststore:
keytool -list -v -keystore truststore
系统将显示truststore的信息.
现在可以用适当的keystore运行你的应用程序.如:
java -djavax.net.ssl.keystore=keystore -djavax.net.ssl.keystorepassword=password server
和: java -djavax.net.ssl.truststore=truststore
-djavax.net.ssl.truststorepassword=trustword client
你不可能只做一个APP,你可能有一个宏伟的战略工程,想要在生活,服务,游戏,系统各个领域都想插足的话,你不可能只做一个APP,谷歌建议你把你所有的APP都使用同一个签名证书。
使用你自己的同一个签名证书,就没有人能够覆盖你的应用程序,即使包名相同,所以影响有:
1) App升级。 使用相同签名的升级软件可以正常覆盖老版本的软件,否则系统比较发现新版本的签名证书和老版本的签名证书不一致,不会允许新版本安装成功的。
2) App模块化。android系统允许具有相同的App运行在同一个进程中,如果运行在同一个进程中,则他们相当于同一个App,但是你可以单独对他们升级更新,这是一种App级别的模块化思路。
3) 允许代码和数据共享。android中提供了一个基于签名的Permission标签。通过允许的设置,我们可以实现对不同App之间的访问和共享,如下:
AndroidManifest.xml:<permission android:protectionLevel="normal" />
其中protectionLevel标签有4种值:normal(缺省值),dangerous, signature,signatureOrSystem。简单来说,normal是低风险的,所有的App不能访问和共享此App。dangerous是高风险的,所有的App都能访问和共享此App。signature是指具有相同签名的App可以访问和共享此App。signatureOrSystem是指系统image中App和具有相同签名的App可以访问和共享此App,谷歌建议不要使用这个选项,因为签名就足够了,一般这个许可会被用在在一个image中需要共享一些特定的功能的情况下。
注册会员,创建你的web开发资料库, keytool 是安全钥匙与证书的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的x.509 证书链的keystore(相当一个数据库).
keytool 是一个有效的安全钥匙和证书的管理工具. 它能够使用户使用数字签名来管理他们自己的私有/公共钥匙对,管理用来作自我鉴定的相关的证书,管理数据完整性和鉴定服务.它还能使用户在通信时缓存它们的公共钥匙.一个证书是某一实体(个人,公司等)的数字签名,指出其他实体的公共钥匙(或其他信息)的详细的值.当数据被签名后,这个签名信息被用来检验数据的完整性和真实性.完整性指数据没有被修改和篡改,真实性指数据从任何产生和签名的一方真正的传输到达.
keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.
而另外的一个工具jarsigner用keystore中的信息产生或检验java archive(jar文件)中的数字签名.
keystore有两个不同的入口:
1.钥匙入口:保存了非常敏感的加密的钥匙信息,并且是用一个保护的格式存储以防止未被授权的访问.以这种形式存储的钥匙是秘密钥匙,或是一个对应证书链中公有钥匙的私有钥匙.
2.信任证书入口:包含一个属于其他部分的单一公共钥匙证书.它之所以被称为"信任证书",是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别.
keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问.别名是 不区分大小写的.如别名hugo和hugo指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名.也可以用-import参数加一个证书或证书链到信任证书.
如:
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke为别名,dukekeypasswd为duke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将旧密码dukekeypasswd改为newpass.
keystore的产生:
1.当使用-genkey 或-import或-identitydb命令添加数据到一个keystore,而当这个keystore不存在时,产生一个keystore.默认名是.keystore,存放到user-home目录.
2.当用-keystore指定时,将产生指定的keystore.
keystore的实现:
keytool 类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个gui工具policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"jks".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.
支持的算法和钥匙大小:
keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法.缺省的钥匙对产生算法是"dsa".假如私有钥匙是"dsa"类型,缺省签名算法是"sha1withdsa",假如私有钥匙是"rsa"类型,缺省算法是"md5withrsa".
当产生一个dsa钥匙对,钥匙必须在512-1024位之间.对任何算法的缺省钥匙大小是1024位.
证书:
一个证书是一个实体的数字签名,指出其他实体的公共钥匙有明确的值.
1.公共钥匙 :是同一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
2.数字签名:假如数据已被签名,并用身份存储在一个实体中,一个签名能够证明这个实体知道这个数据.这个数据用实体私有钥匙签名并递交;
3.身份:知道实体的方法.在一些系统中身份是公共钥匙,其他系统中可以是从一个x.509名字的邮件地址的unix uid来的任何东西;
4.签名:一个签名用用实体私有钥匙来计算某些加密数据;
5.私有钥匙:是一些数字,每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道.私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.一个公共钥匙加密(如dsa),一个私有钥匙与一个正确的公共钥匙通信.私有钥匙用来计算签名.
6.实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
keytool应用实例:
1.产生一个keystore:
keytool -genkey -alias user(keystore的别名) -keyalg rsa -validity 7 -keystore keystore(指定keystore).
运行这个命令,系统提示:
enter keystore password:yourpassword(输入密码)
what is your first and last name?
[unknown]: your name(输入你的名字)
what is the name of your organizational unit?
[unknown]:your organizational(输入你所在组织单位的名字)
what is the name of your organization?
[unknown]:your organization name (输入你所在组织的名字)
what is the name of your city or locality?
[unknown]:your city name(输入所在城市的名字)
what is the name of your state or province?
[unknown]:your provice name(输入所在省份名字)
what is the two-letter country code for this unit?
[unknown]:cn(输入国家名字)
is cn=your name, ou=your organizaion, o="your organization name",
l=your city name, st=your province name, c=cn correct?
[no]: yes
2.检查一个keystore:
keytool -list -v -keystore keystore
enter keystore password:your password(输入密码)
将显示keystore內容如:
keystore type: jks
keystore provider: sun
your keystore contains 1 entry
alias name: yourname
creation date: dec 20, 2001
entry type: keyentry
certificate chain length: 1
certificate[1]:
owner: cn=yourname, ou=your organization, o="your organization name",
l=your city name, st=your province name, c=cn
issuer: cn=duke, ou=java software, o="sun microsystems, inc.", l=palo alto, st=ca, c=us
serial number: 3c22adc1
valid from: thu dec 20 19:34:25 pst 2001 until: thu dec 27 19:34:25 pst 2001
certificate fingerprints:
md5: f1:5b:9b:a1:f7:16:cf:25:cf:f4:ff:35:3f:4c:9c:f0
sha1: b2:00:50:dd:b6:cc:35:66:21:45:0f:96:aa:af:6a:3d:e4:03:7c:74
3.输出keystore到一个文件:testkey:
keytool -export -alias duke -keystore keystore -rfc -file testkey
系统输出:
enter keystore password:your password(输入密码)
certificate stored in file
4.输入证书到一个新的truststore:
keytool -import -alias dukecert -file testkey -keystore truststore
enter keystore password:your new password.(输入truststore新密码)
5.检查truststore:
keytool -list -v -keystore truststore
系统将显示truststore的信息.
现在可以用适当的keystore运行你的应用程序.如:
java -djavax.net.ssl.keystore=keystore -djavax.net.ssl.keystorepassword=password server
和: java -djavax.net.ssl.truststore=truststore
-djavax.net.ssl.truststorepassword=trustword client
719
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
