[ Android 编译 ] 如果不指定LOCAL_CERTIFICATE,默认使用哪个key进行签名

已于 2022-09-28 11:05:13 修改
阅读量2.3k 收藏 5
点赞数 1
分类专栏: Android编译 文章标签: android framework 源码
于 2022-09-28 10:04:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a572423926/article/details/127078033
版权

[ Android 编译 ] 如果不指定LOCAL_CERTIFICATE,默认使用哪个key进行签名?

尊重原创,转载请注明出处!
创作不易,如有帮助请点赞支持~

参考:
Android系统签名简介

开发系统应用时,通常情况下我们都会在 Android.mk 中通过 LOCAL_CERTIFICATE 声明应用签名所用的密钥。尤其是当指定 android:sharedUserId="android.uid.system" 时,必须通过 LOCAL_CERTIFICATE := platform 使用 platform key 对应用进行签名。

最近在开发调试的时候,发现 Launcher3 应用的 Android.mk 并没有声明 LOCAL_CERTIFICATE,那么它到底是使用哪个 key 进行签名的呢?

通过简单的测试可以得出结论,在未修改源码编译环境的情况下,系统源码中编译的应用,如果没有指定 LOCAL_CERTIFICATE

1、在 user 模式下就是用 build/target/product/security/releasekey.x509.pem 进行应用签名。

2、在 eng / userdebug 模式下用 build/target/product/security/testkey.x509.pem 进行应用签名。

默认情况下使用的证书路径是在这里定义的 build/core/config.mk

# The default key if not set as LOCAL_CERTIFICATE
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
  DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
else
  DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/testkey
endif

也就是说,如果在源码中定义了 PRODUCT_DEFAULT_DEV_CERTIFICATE 的环境变量,就会使用它作为默认的证书路径。如果没指定 PRODUCT_DEFAULT_DEV_CERTIFICATE,则使用 build/target/product/security/testkey 作为默认的证书路径。

通过查找资料,发现在 system/sepolicy/private/keys.conf 中还定义了不同编译模式下使用的默认密钥:

[@PLATFORM]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/platform.x509.pem

[@MEDIA]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/media.x509.pem

[@NETWORK_STACK]
ALL : $MAINLINE_SEPOLICY_DEV_CERTIFICATES/networkstack.x509.pem

[@SHARED]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/shared.x509.pem

# Example of ALL TARGET_BUILD_VARIANTS
[@RELEASE]
ENG       : $DEFAULT_SYSTEM_DEV_CERTIFICATE/testkey.x509.pem
USER      : $DEFAULT_SYSTEM_DEV_CERTIFICATE/releasekey.x509.pem
USERDEBUG : $DEFAULT_SYSTEM_DEV_CERTIFICATE/testkey.x509.pem

最后,这个 DEFAULT_SYSTEM_DEV_CERTIFICATE 到底是在哪里用到的呢?

答案是 build/make/core/package_internal.mk,它判断了当 LOCAL_CERTIFICATE 为空时,使用 $(DEFAULT_SYSTEM_DEV_CERTIFICATE) 进行签名。

ifeq ($(LOCAL_CERTIFICATE),)
    LOCAL_CERTIFICATE := $(DEFAULT_SYSTEM_DEV_CERTIFICATE)
endif

分析到这里,其实就可以验证上面的结论了:

1、在 user 模式下,系统源码中编译的应用,如果没有指定 LOCAL_CERTIFICATE,默认情况下就是用 build/target/product/security/releasekey/releasekey.x509.pem 进行应用签名。

2、在 eng / userdebug 模式下,系统源码中编译的应用,如果没有指定 LOCAL_CERTIFICATE,默认情况下就是用 build/target/product/security/releasekey/testkey.x509.pem 进行应用签名。

进一步扩展,可以得到以下结论:

1、如果自己公司的产品需要维护一套自己生成的密钥,可以在 makefile 中通过 PRODUCT_DEFAULT_DEV_CERTIFICATE 环境变量指定自己的证书路径。包括 platform / media / release 等签名都是使用该路径下的证书

2、如果想要在修改 eng / userdebug / user 编译模式下使用的默认密钥,可以修改 system/sepolicy/private/keys.conf,配置不同编译模式下使用的默认密钥

注:这里经过测试,发现只要指定了 PRODUCT_DEFAULT_DEV_CERTIFICATE,那么无论在 user 还是
userdebug 模式下,默认使用的都是 PRODUCT_DEFAULT_DEV_CERTIFICATE 只有在未指定
PRODUCT_DEFAULT_DEV_CERTIFICATE 的情况下,eng / userdebug 模式下才会使用
testkey 作为默认密钥

遗留问题:
上面指定的 DEFAULT_SYSTEM_DEV_CERTIFICATE 都是 build/target/product/security/testkeybuild/target/product/security/releasekey,也就是直接指定的密钥类型。

但是在 keys.conf 中通过 DEFAULT_SYSTEM_DEV_CERTIFICATExxxkey.x509.pem 进行拼接,此时 DEFAULT_SYSTEM_DEV_CERTIFICATE 应该指定的是密钥文件所在目录才对?

这个问题查了半天没搞懂,暂时不管了。有哪位朋友知道的可以指点一下,谢谢~

那个写代码的
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Nginx配置SSL自签名证书的方法
09-30
ssl_certificate_key /path/to/your/domain_nopass.key; # 指定私钥路径 # SSL协议和加密套件优化 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE...
nginx_多证书配置.zip
01-10
4. 使用`ssl_certificate_key`指令指定私钥文件路径,如 `ssl_certificate_key /etc/nginx/certs/domain1.key;`。 5. 如果需要,还可以配置其他SSL相关设置,如`ssl_protocols`, `ssl_ciphers`, `ssl_prefer_server_...
Android系统签名简介
sunyugg的博客
04-23 3710
apk的签名,简单说开发者可以通过签名 对应用进行标识和更新。包名在一个设备上是唯一的,这样可以避免被相同包名应用随意覆盖安装。这是一个非常重要的安全功能。系统中的签名文件,也是对系统中应用进行签名编译应用是可以指定签名类型。 下面介绍的是Android系统中的签名相关内容。 Android系统中的主要签名文件 media.pk8,media.x509.pem;platform...
LOCAL_CERTIFICATE作用
hnlgzb的专栏
08-05 5261
build/target/product/security目录中有四组默认签名Android.mk在编译APK使用: 1、testkey:普通APK,默认情况下使用。 2、platform:该APK完成一些系统的核心功能。经过对系统中存在的文件夹的访问测试,这种方式编译出来的APK所在进程的UID为system。 3、shared:该APK需要和home/contacts进程共享数据。 4、media:该APK是media/download系统中的一环。 应用程序的Android.mk中有一个L
mk中的android:sharedUserId和LOCAL_CERTIFICATE作用
JESSE_ZHAO_503的专栏
07-17 1万+
mk中的android:sharedUserId和LOCAL_CERTIFICATE作用(一) Android中如何修改系统时间(应用程序获得系统权限) 在 android 的API中有提供 SystemClock.setCurrentTimeMillis()函数来修改系统时间,可惜无论你怎么调用这个函数都是没用的,无论模拟器还是真机,在logcat中总会得到"Unable to ope
关于系统内置apk签名问题。
Encode_myself的专栏
09-29 1401
近期接到个需求,是得将apk build到系统里,并且在平时的过程中还是可以进行调试的。 那么问题来了,我们都知道系统内置的apk是不能卸载的,那能不能reinstall呢。 一般的系统apk,android.mk都有这么一句: LOCAL_CERTIFICATE := platform 对于这句而言,不论你内置的apk有签名与否,install之前都会将apk做resig
详解nginx使用ssl模块配置HTTPS支持
09-30
4. 如果不希望在运行Nginx时每次都输入私钥口令,可以移除口令:`$ cp serverkey serverkeyorg`,然后执行`$ openssl rsa -in serverkeyorg -out serverkey`。 5. 最后,使用`openssl x509`命令签发证书:`$ openssl...
openssl-1.1.1v.tar(电脑不缺库则不需要)
08-18
- **自签名证书**: `openssl x509 -req -days 365 -in csr.pem -signkey private.key -out certificate.crt` 生成自签名证书。 6. **维护与更新** - 定期检查 OpenSSL 官方公告,获取最新安全更新。 - 遵循最佳...
使用nginx方式实现http转换为https的示例代码
09-29
ssl_certificate_key cert/21.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_...
Android签名实战(platform等签名方法及mk文件中的 LOCAL_CERTIFICATE
路文 的博客
10-18 1万+
Android签名实战(platform等签名方法及mk文件中的 LOCAL_CERTIFICATE
Android 权限(一):权限大全
热门推荐
u012514113的专栏
02-06 1万+
Android 权限大全
系统编译三方apk,out目录有这个apk,但刷机不见踪影
hnlgzb的专栏
08-05 1132
记录一下 这个apk没有签名,但而且编译的时候,配的Android.mk LOCAL_CERTIFICATE := PRESIGNED----------意思是已签名。。所以相冲突 参数 改成platform就好 LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) # Module name should match apk name to be installed LOCAL_MODULE := xxx LOCAL_MODULE_TAGS :..
Android.mk学习记录
u011337503的专栏
04-12 1871
Android.mk常用命令
Android签名原理分析,Android系统build阶段签名机制
weixin_42371098的博客
05-25 882
本文介绍Android系统build阶段的签名机制。一、系统build阶段签名机制1、系统中有4组key用于build阶段对apk进行签名:MediaPlatformSharedTestkeydefault key是放在Android源码的/build/target/product/security目录下:media.pk8与media.x509.pem;platform.pk8与platform...
【安卓的签名和权限】
最新发布
xuanyulevel6的博客
01-02 1381
大部分公司在自定义自己的秘钥的时候,都会做出如下修改在产品的mk中指定PRODUCT_DEFAULT_DEV_CERTIFICATE,如:device/amlogic/产品名/产品名.mk:endif一旦指定了PRODUCT_DEFAULT_DEV_CERTIFICATE就不会再使用默认的testkeybuild/core/config.mk文件:elseendif。
Android Framework 常见解决方案(15)android内置可卸载APP集成方案
wangdsh的博客
03-17 2702
1 原理 在Android源码中添加一个可卸载APP的普通应用,该应用是 需要一个用于集成的apk文件、Android.mk文件 以及相关的配置文件。和系统级应用集成不同的是LOCAL_CERTIFICATE变量值的不同,系统级应用对应的是platform,而普通可卸载应用对应的是PRESIGNED。 2 修改方案(Android O P Q) 在AOSP/package/apps/路径下 添加一个普通可卸载应用Taobao.,添加对应的Android.mk文件,如下所示: LOCAL_PATH.
如何让apk 拥有系统权限
04-10 2046
如何让apk 拥有系统权限,修改时间,调用隐藏方法,系统关键重启,静默安装升级卸载应用等系统级app所有的权限 方法一: 不进入源码编译 1 下载keytool 地址:https://github.com/getfatday/keytool-importkeypair 2.app的AndroidManifest.xml 如下定义 android:sharedUserId="and...
nginx: [emerg] unknown directive "ssl_certificate" in /usr/local/nginx/conf/nginx.conf:16
07-28
根据你提供的错误信息,看起来在你的Nginx配置文件中,第16行使用了"ssl_certificate"指令,但是Nginx无法识别该指令,导致出现了"unknown directive"错误。 这个问题通常是由于Nginx没有正确加载ngx_http_ssl_module模块导致的。要解决这个问题,你可以按照以下步骤进行操作: 1. 首先确认你的Nginx是否已经正确编译并启用了SSL模块。你可以通过运行以下命令检查: ``` nginx -V ``` 在输出的信息中查找`--with-http_ssl_module`,如果没有出现这个选项,表示Nginx没有启用SSL模块。你需要重新编译Nginx并包含SSL模块。 2. 如果你已经确认Nginx已经启用了SSL模块,那么可能是由于配置文件中缺少正确的nginx.conf文件或被其他配置文件覆盖导致的。请检查你的Nginx配置目录,确保nginx.conf文件存在于正确的位置。 3. 打开nginx.conf文件,确保在http块内包含了正确的指令。例如: ``` http { ... ssl_certificate /path/to/your_certificate.crt; ssl_certificate_key /path/to/your_private_key.key; ... } ``` 将`/path/to/your_certificate.crt`和`/path/to/your_private_key.key`替换为你实际的证书和私钥文件路径。 4. 保存并关闭配置文件。 5. 检查Nginx配置文件的语法是否正确: ``` nginx -t ``` 如果语法检查通过,则会显示 "configuration file ... test is successful" 的消息。 如果以上步骤仍然无法解决问题,请确保你的Nginx版本支持SSL配置,并且检查其他可能的语法错误或配置问题。 希望这次能够帮助到你!如果还有其他问题,请随时提问。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值