https://maoao530.github.io/2017/01/31/android-build-sign/

APK签名机制
https://maoao530.github.io/2017/01/31/apk-sign/

本文介绍Android系统build阶段的签名机制。

一、系统build阶段签名机制

1、系统中有4组key用于build阶段对apk进行签名：

• Media
• Platform
• Shared
• Testkey
• release

default key是放在Android源码的/build/target/product/security目录下:

• media.pk8与media.x509.pem；
• platform.pk8与platform.x509.pem；
• shared.pk8与shared.x509.pem；
• testkey.pk8与testkey.x509.pem；

其中，*.pk8文件为私钥，*.x509.pem文件为公钥，这需要去了解非对称加密方式。

2、在apk的android.mk文件中会指定LOCAL_CERTIFICATE 变量：

LOCAL_CERTIFICATE可设置的值如下：

如果不指定，默认使用testkey。

对应的，除了在Android.mk指定上述的值，还需要在APK源码的AndroidManifest.xml文件的manifest节点里面申明权限：

3、Build规则是Build/core/prebuilt.mk。
4、在build/core/config.mk中，DEFAULT_SYSTEM_DEV_CERTIFICATE可以通过PRODUCT_DEFAULT_DEV_CERTIFICATE去指定各家厂商的key path。

我们可以看到，默认为build/target/product/security/testkey。

二、自定义系统签名的key

上面介绍了系统有默认四组key，那么如果我们要制作自己的key，需要怎么做呢？
在build/target/product/security/目录下有一个README，里面有说明怎么制作这些key并且使用。

1、进入Development/tools/ 目录

2、使用make_key工具生成签名文件：

其中：

• C : Country Name (2 letter code)
• ST : State or Province Name (full name)
• L : Locality Name (eg, city)
• O : Organization Name (eg, company)
• OU : Organizational Unit Name (eg, section)
• CN : Common Name (eg, your name or your server’s hostname)
• emailAddress : Contact email address

3、用ls命令发现目录下多了两个文件：releasekey.x509.pem 和 releasekey.pk8

4、同样的步骤生成platform / shared / media

5、用自定义的key替换build/target/product/security/目录下面的key。

三、对APK进行系统签名

为了使apk有system权限，通常我们需要对其进行系统签名：

1、在应用程序的AndroidManifest.xml中的manifest节点中加入

2、修改它的Android.mk文件，加入

重新编译，生成的apk就有修改system权限了,我们通过ps命令查看APK所在进程的UID，发现值为system。