Android APK签名

一、Android Apk签名
Apk签名首先要有一个keystore的签名用的文件。
keystore是由jdk自带的工具keytool生成的。
具体生成方式参考：
开始->运行->cmd->cd到你安装的jdk的目录里，我的是C:\Program Files\Java\jdk1.6.0_10\bin
然后输入：
keytool -genkey -alias asaiAndroid.keystore -keyalg RSA -validity 20000 -keystore asaiAndroid.keystore
-alias 后面跟的是别名这里是 asaiAndroid.store
-keyalg 是加密方式这里是RSA
-validity 是有效期 这里是20000
-keystore 就是要生成的keystore的名称 这里是asiAndroid.keystore
然后按回车键
按回车后首先会提示你输入的密码：这个在签名时要用的，要记住
然后会再确认你的密码。
之后会依次叫你输入姓名、组织单位、组织名称、城市区域、省份名称、国家代码（CN）等。

开始签名。
在 C:\Program Files\Java\jdk1.6.0_10\bin 还提供一个工具 jarsigner.exe
运行命令给APK签名：
jarsigner -verbose -keystore asaiAndroid.keystore -signedjar Lotteryonline_signed.apk LotteryOnline.apk asaiAndroid.keystore
-keystore: keystore的名称
LotteryOnline_signed.apk:签名后的APK
LotteryOnline.apk:签名前的APK
然后按回车：会要求输入刚才设置的密码，输入后按回车就开始签名了。


二、eclipse源码编译，无需用make来编译（android源码目录<D:\myandroid_mx27>）：
1、首先，AndroidManifest.xml中manifest节点中加入android:sharedUserId="android.uid.system"这个属性

2、用eclipse编译出apk(ClockSetting.apk)文件，但这个文件不能用，删掉META-INF目录下的CERT.SF和CERT.RSA两个文件

3、使用当前android系统（android系统可能不同）的platform密钥来重新给apk文件签名（可能还未用用户米要签名）。
首先,找到密钥文件，在我的Android源码目录中的位置是"build\target\product\security",下面的platform.pk8和platform.x509.pem两个文件。
然后，用Android提供的SignApk工具来签名，signapk的源代码是在"build\tools\signapk"下，这时得为下面的编译工作做些准备：
<1>、编译jar
命令行cd到signapk.java代码目录下，
javac signapk.java
获取SignApk$SignatureOutputStream.class和SignApk.class

建立目录s\com\android\signapk,将两个class文件放入目录下
jar cvfm signapk.jar SignApk.mf -C s\ .
注意："s\"后面的"."前面有空格
生成signapk.jar文件，得到了Android提供的签名程序signapk.jar
<2>、用目标系统的platform密钥签名
将platform.pk8和platform.x509.pem文件复制到"D:\myandroid_mx27\build\tools\signapk"目录下，即signapk.jar和SignApk.mf所在的目录。
java -jar signapk.jar platform.x509.pem platform.pk8 D:\ClockSetting.apk D:\ClockSettingSigned.apk
我的未签名（ClockSetting.apk）和已签名(ClockSettingSigned.apk)apk文件都放在D盘,这样就得到了用Android源码编译的文件。

<3>、打开真机，安装：
adb connect IPort (IP为真机IP地址，Port为端口)

adb install D:/ClockSettingSigned.apk

http://jeff-pluto-1874.iteye.com/blog/847366

android apk签名（为什么 如何做 验证）

这篇文章其实就是根据自己的疑问然后结合多个文章结合成的

文章引用：

http://liangxh2008.blog.163.com/blog/static/112411679201041321646855/

http://www.pgcw.com.cn/Newsdetail.asp?id=257565010

http://www.eoeandroid.com/thread-23010-1-1.html

http://pepa.iteye.com/blog/250991

http://dev.10086.cn/cmdn/bbs/viewthread.php?tid=36678

http://blog.csdn.net/wenhaiyan/archive/2010/04/23/5520964.aspx

http://jojol-zhou.iteye.com/blog/719428

一、为什么要签名：

1、发送者的身份认证，由于开发商可能通过使用相同的Package Name来混淆替换已经安装的程序，以此保证签名不同的包不被替换
2、保证信息传输的完整性，签名对于包中的每个文件进行处理，以此确保包中内容不被替换，防止交易中的抵赖发生，Market对软件的要求

二、签名的说明：
1、所有的应用程序都必须有数字证书，Android系统不会安装一个没有数字证书的应用程序
2、Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证
3、如果要正式发布一个Android应用，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用adt插件或者ant工具生成的调试证书来发布
4、数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能
5、签名后需使用zipalign优化程序
6、Android将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，而不是用来决定最终用户可以安装哪些应用程序
三、签名的方法：

1、 用eclipse插件方式签名

2、 调试签名

eclipse插件默认赋予程序一个DEBUG权限的签名，此签名的程序不能发布到market上，此签名有效期为一年，如果过期则导致你无法生成apk文件，此时你只要删除debug keystore即可，系统又会为你生成有效期为一年的新签名
b)开发者生成密钥并签名
右键点击项目名，在菜单中选择Android Tools，然后选择Export Signed ApplicationPackage…，即可通过eclipse自定义证书并签名
c)开发者导出未签名的包
右键点击项目名，在菜单中选择Android Tools，然后选择Export Signed ApplicationPackage…，即可导出未签名的包，之后可通过命令行方式签名

3、用命令行方式签名
使用标准的java工具keytool和jarsigner来生成证书和给程序签名
a)生成签名
$ keytool -genkey -keystorekeyfile -keyalg RSA -validity 10000 -aliasyan
注：validity为天数，keyfile为生成key存放的文件，yan为私钥，RSA为指定的加密算法(可用RSA或DSA)
b)为apk文件签名
$ jarsigner -verbose -keystorekeyfile -signedjar signed.apk base.apkyan
注：keyfile为生成key存放的文件，signed.apk为签名后的apk，base.apk 为未签名的apk，yan为私钥
c)看某个apk是否经过了签名
$ jarsigner –verify my_application.apk

例如:jarsigner -verify -verbose -certs abc.apk

每个签名的apk都会看到如下信息

sm 152412 Wed Oct 14 14:16:52 CEST 2009 classes.dex

X.509, CN=Meebo, OU=Meebo, O=Meebo, L=Mountain View, ST=California, C=US

[certificate is valid from 28/10/08 06:49 to 13/08/82 07:49]

否则就是没有签名
d)优化（签名后需要做对齐优化处理）
zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk

4、在源码中编译的签名
a)使用源码中的默认签名
在源码中编译一般都使用默认签名的，在某源码目录中用运行
$ mmshowcommands能看到签名命令
Android提供了签名的程序signapk.jar，用法如下：
$ signapk publickey.x509[.pem]privatekey.pk8 input.jar output.jar
*.x509.pem为x509格式公钥，pk8为私钥
build/target/product/security目录中有四组默认签名可选：testkey,platform, shared, media（具体见README.txt），应用程序中Android.mk中有一个LOCAL_CERTIFICATE字段，由它指定用哪个key签名，未指定的默认用testkey.
b)在源码中自签名
Android提供了一个脚本mkkey.sh（build/target/product/security/mkkey.sh），用于生成密钥，生成后在应用程序中通过Android.mk中的LOCAL_CERTIFICATE字段指名用哪个签名
c) mkkey.sh介绍
i.生成公钥
openssl genrsa -3 -outtestkey.pem 2048
其中-3是算法的参数，2048是密钥长度，testkey.pem是输出的文件
ii.转成x509格式（含作者有效期等）
openssl req -new -x509 -keytestkey.pem -out testkey.x509.pem -days 10000 -subj‘/C=US/ST=California/L=Mountain [email=View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com]View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com[/email]’
iii.生成私钥
openssl pkcs8 -in testkey.pem-topk8 -outform DER -out testkey.pk8-nocrypt
把的格式转换成PKCS #8，这里指定了-nocryp，表示不加密，所以签名时不用输入密码

四、签名的相关文件
1)apk包中签名相关的文件在META_INF目录下
CERT.SF：生成每个文件相对的密钥
MANIFEST.MF：数字签名信息
xxx.SF：这是JAR文件的签名文件，占位符xxx标识了签名者
xxx.DSA：对输出文件的签名和公钥
2)相关源码

五、签名的相关问题
一般在安装时提示出错：INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES
1) 两个应用，名字相同，签名不同
2) 升级时前一版本签名，后一版本没签名
3) 升级时前一版本为DEBUG签名，后一个为自定义签名
4) 升级时前一版本为Android源码中的签名，后一个为DEBUG签名或自定义签名
5) 安装未签名的程序
6) 安装升级已过有效期的程序
6. 相关工具
1) 查看某个x509证书的的有效日期

签名具体步骤：

Apk签名首先要有一个keystore的签名用的文件.
keystore是由jdk自带的工具keytool生成的.具体生成方式参考一下:
开始->运行->cmd->cd 到你安装的jdk的目录这里我是 C:\Program Files\Java\jdk1.6.0_10\bin
然后输入：keytool -genkey -alias asaiAndroid.keystore -keyalg RSA -validity 20000 -keystore asaiAndroid.keystore
-alias 后跟的是别名这里是 asaiAndroid.keystore
-keyalg 是加密方式这里是 RSA
-validity 是有效期 这里是 20000
-keystore 就是要生成的keystore的名称 这里是 asaiAndroid.keystore
然后按回车
按回车后首先会提示你输入密码：这个在签名时要用的要记住了哦。
然后会再确认你的密码。
之后会依次叫你输入 姓名，组织单位，组织名称，城市区域，省份名称，国家代码等。
参考：

运行完可以在 C:\Program Files\Java\jdk1.6.0_10\bin 里找到刚才生产的keyStore文件

好现在开始给Apk签名了：
在 C:\Program Files\Java\jdk1.6.0_10\bin 还提供一个工具 jarsigner.exe
好现在可以在刚才的命令行后继续运行以下命令给APK签名：
jarsigner -verbose -keystore asaiAndroid.keystore -signedjar LotteryOnline_signed.apk LotteryOnline.apk asaiAndroid.keystore
-keystore：keystore 的名称
LotteryOnline_signed.apk是签完名后的APK
LotteryOnline.apk 是签名前的apk
然后按回车：会要求输入刚才设置的密码，输入后按回车就开始签名了。
参考：

运行成功后在 C:\Program Files\Java\jdk1.6.0_10\bin 目录下会多出一个被签名的apk文件，
参考：

如果这种方法不行，可以试试eclipse自带的方法，也是引用“窃”别人的文章^-^

1.Eclipse工程中右键工程，弹出选项中选择 android工具-生成签名应用包：

2.选择需要打包的android项目工程：

3.如果已有私钥文件，选择私钥文件 输入密码，如果没有私钥文件见 第6和7步创建私钥文件：

4.输入私钥别名和密码：

5.选择APK存储的位置，并完成设置 开始生成：

6.没有私钥文件的情况，创建私钥文件：

7.输入私钥文件所需信息，并创建：

补充：

如果需要最终发行你的android程序，必需为apk文件签名。这里apk和jar的签名方式都是一样的，使用sun jdk的jarsigner工具来完成，但是执行时会提示jarsigner： 无法对 jar 进行签名： java.util.zip.ZipException: invalid entry compressed size (expectedxxx but gotxxx bytes)这样的提示,

这些问题主要是由于资源文件造成的，对于android开发来说应该检查res文件夹中的文件，逐个排查。这个问题可以通过升级系统的JDK和JRE版本来解决。

http://www.cnblogs.com/not-code/archive/2011/05/15/2047057.html

Android签名主要采用keytool和jarsigner制作apk文件

Android程序的签名和Symbian类似都可以自签名(Self-signed)，但是在Android平台中证书初期还显得形同虚设，平时开发时通过ADB接口上传的程序会自动被签有Debug权限的程序。需要签名验证在上传程序到Android Market上时大家都已经发现这个问题了。

Android signed制作方法

首先在Android开发时没有安装JDK的网友在Sun官方网站下载JDKhttp://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe，其实仅需要中的Keytool和Jarsigner。

详细的签名步骤:

第一步

C:/Program Files/Java/jdk1.6.0_10/bin>keytool -genkey -alias wendy.keystore
-keyalg RSA -validity 20000 -keystore wendy.keystore
输入keystore密码：[密码不回显]
再次输入新密码：[密码不回显]
您的名字与姓氏是什么？
[Unknown]： wendy

您的组织单位名称是什么？
[Unknown]：home

您的组织名称是什么？
[Unknown]：home
您所在的城市或区域名称是什么？
[Unknown]： New York
您所在的州或省份名称是什么？
[Unknown]： New York
该单位的两字母国家代码是什么
[Unknown]： CN
CN=wendy, OU=home, O=home, L=New York, ST
=New York, C=CN 正确吗？
[否]： Y

输入<wendy.keystore>的主密码
（如果和 keystore 密码相同，按回车）：

其中参数-validity为证书有效天数，这里我们写的大些20000天。还有在输入密码时没有回显，只管输入就可以了，一般位数建议使用20位，最后需要记下来后面还要用

接下来我们开始为apk文件签名了。

第二步

执行下面这句jarsigner -verbose -keystore wendy.keystore -signedjar wendy_signed.apk wendy.apk wendy.keystore 就可以生成签名的apk文件，这里输入文件wendy.apk，最终生成wendy_signed.apk为Android签名后的APK执行文件。下面提示输入的密码和keytool输入的一样就行了，

http://code.google.com/android/devel/sign-publish.html一文.

附上keytool参数以及jarsigner参数:

keytool用法：

-certreq [-v] [-protected]
[-alias <别名>] [-sigalg <sigalg>]
[-file <csr_file>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>
[-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-delete [-v] [-protected] -alias <别名>
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-exportcert [-v] [-rfc] [-protected]
[-alias <别名>] [-file <认证文件>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-genkeypair [-v] [-protected]
[-alias <别名>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-sigalg <sigalg>] [-dname <dname>]
[-validity <valDays>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-genseckey [-v] [-protected]
[-alias <别名>] [-keypass <密钥库口令>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-help

-importcert [-v] [-noprompt] [-trustcacerts] [-protected]
[-alias <别名>]
[-file <认证文件>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-importkeystore [-v]
[-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]
[-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]
[-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]
[-srcprotected] [-destprotected]
[-srcprovidername <源提供方名称>]
[-destprovidername <目标提供方名称>]
[-srcalias <源别名> [-destalias <目标别名>]
[-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]
[-noprompt]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-keypasswd [-v] [-alias <别名>]
[-keypass <旧密钥库口令>] [-new <新密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-list [-v | -rfc] [-protected]
[-alias <别名>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

-printcert [-v] [-file <认证文件>]

-storepasswd [-v] [-new <新存储库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]

jarsigner用法： [选项] jar 文件别名
jarsigner -verify [选项] jar 文件

[-keystore <url>] 密钥库位置
[-storepass <口令>] 用于密钥库完整性的口令
[-storetype <类型>] 密钥库类型
[-keypass <口令>] 专用密钥的口令（如果不同）
[-sigfile <文件>] .SF/.DSA 文件的名称
[-signedjar <文件>] 已签名的 JAR 文件的名称
[-digestalg <算法>] 摘要算法的名称
[-sigalg <算法>] 签名算法的名称
[-verify] 验证已签名的 JAR 文件
[-verbose] 签名/验证时输出详细信息
[-certs] 输出详细信息和验证时显示证书
[-tsa <url>] 时间戳机构的位置
[-tsacert <别名>] 时间戳机构的公共密钥证书
[-altsigner <类>] 替代的签名机制的类名
[-altsignerpath <路径列表>] 替代的签名机制的位置
[-internalsf] 在签名块内包含 .SF 文件
[-sectionsonly] 不计算整个清单的散列
[-protected] 密钥库已保护验证路径
[-providerName <名称>] 提供者名称
[-providerClass <类> 加密服务提供者的名称
[-providerArg <参数>]] ... 主类文件和构造函数参数

补充：

如果需要最终发行你的android程序，必需为apk文件签名。这里apk和jar的签名方式都是一样的，使用sun jdk的jarsigner工具来完成，但是执行时会提示jarsigner： 无法对 jar 进行签名： java.util.zip.ZipException: invalid entry compressed size (expectedxxx but gotxxx bytes)这样的提示,

这些问题主要是由于资源文件造成的，对于android开发来说应该检查res文件夹中的文件，逐个排查。这个问题可以通过升级系统的JDK和JRE版本来解决。

http://blog.csdn.net/wenhaiyan/article/details/5520964