如何通过OpenHarmony中的定制系统实现生成“私有签名”

最新推荐文章于 2025-07-07 20:27:22 发布
最新推荐文章于 2025-07-07 20:27:22 发布
阅读量900 收藏 18
点赞数 27
CC 4.0 BY-SA版权
分类专栏: HarmonyOS 鸿蒙 鸿蒙工程师 文章标签: harmonyos OpenHarmony 鸿蒙 鸿蒙应用开发 鸿蒙系统 鸿蒙开发 鸿蒙工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_82546228/article/details/139335777

为了保证 OpenHarmony 应用的完整性和来源可靠,在应用构建时需要对应用进行签名。经过签名的应用才能在真机设备上安装、运行、和调试。

图片

developtools_hapsigner 仓提供了签名工具的源码,包含密钥对生成、CSR 文件生成、证书生成、Profile 文件签名、Hap 包签名等功能。

OpenHarmony 系统中有一套默认签名信息,用于应用的开发和调试。当系统厂商正式发布系统时,需要新增或替换私有签名信息,本篇文档将介绍如何生成私有签名并在系统中进行配置。本文档需准备 Java 和 Gradle 编译环境。

文档环境如下:

开发环境:Windows 11

DevEco Studio 版本:DevEco Studio 3.1 Release(3.1.0.500)

SDK 版本:3.2.12.5(Full SDK)

开发板型号:DAYU 200

系统版本:OpenHarmony 3.2 Release

涉及仓库:Hap 包签名工具[developtools_hapsigner]

https://gitee.com/openharmony/developtools_hapsigner

基本概念

非对称密钥对:数据签名/验签的基础,应用签名工具实现了标准的非对称密钥对生成功能(支持的密钥对类型包括 ECC P384/256、RSA2048/3072/4096)

CSR:Certificate Signing Request 证书签发请求是生成证书的前提,他包括证书的公钥、证书主题和私钥签名,在申请证书之前,需要先基于密钥对生成 CSR,然后提交给 CA 签发证书。

证书:OpenHarmony 采用 RFC5280 标准构建 X509 证书信任体系。用于应用签名的 OpenHarmony 证书共有三级,分为:根 CA 证书、中间 CA 证书、最终实体证书,其中最终实体证书分为应用签名证书和 profile 签名证书。

应用签名证书表示应用开发者的身份,可保证系统上安装的应用来源可追溯,profile 签名证书实现对 profile 文件的签名进行验签,保证 profile 文件的完整性。

HAP:OpenHarmony Ability Package 是 Ability 的部署包,OpenHarmony 应用代码围绕 Ability 组件展开,它是由一个或者多个 Ability 组成。

  • Profile 文件:HarmonyAppProvision 配置文件,hap 包中的描述文件,该描述文件描述了已授权的证书权限和设备 ID 信息等信息。

  • Profile 签名场景:

  • 图片

  • 应用签名场景:

  • 图片

  • 如何生成私有签名

①准备签名工具

克隆 developtools_hapsigner 仓库:

git clone https://gitee.com/openharmony/developtools_hapsigner.git

命令行打开文件目录至 developtools_hapsigner/hapsigntool,执行命令进行编译打包:

gradle build 或者 gradle jar

图片

编译后得到二进制文件,目录为:

developtools_hapsigner/hapsigntool/hap_sign_tool/build/libs/hap-sign-tool.jar

图片

②签名工具说明

  • 生成密钥对:

  • generate-keypair : 
     ├── -keyAlias          # 密钥别名,必填项
     ├── -keyPwd            # 密钥口令,可选项
     ├── -keyAlg            # 密钥算法,必填项,包括RSA/ECC
     ├── -keySize           # 密钥长度,必填项,RSA算法的长度为2048/3072/4096,ECC算法的长度NIST-P-256/NIST-P-384
     ├── -keystoreFile      # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd       # 密钥库口令,可选项

  • 生成证书签名请求:

  • generate-csr :
     ├── -keyAlias          # 密钥别名,必填项
     ├── -keyPwd            # 密钥口令,可选项
     ├── -subject           # 证书主题,必填项
     ├── -signAlg           # 签名算法,必填项,包括SHA256withRSA / SHA384withRSA / SHA256withECDSA / SHA384withECDSA
     ├── -keystoreFile      # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd       # 密钥库口令,可选项
     ├── -outFile           # 输出文件,可选项,如果不填,则直接输出到控制台

  • 生成根 CA/中间 CA 证书,如果密钥不存在,一起生成密钥:

  • generate-ca : 
     ├── -keyAlias                        # 密钥别名,必填项
     ├── -keyPwd                          # 密钥口令,可选项
     ├── -keyAlg                          # 密钥算法,必填项,包括RSA/ECC
     ├── -keySize                         # 密钥长度,必填项,RSA算法的长度为2048/3072/4096,ECC算法的长度NIST-P-256/NIST-P-384
     ├── -issuer                          # 颁发者的主题,可选项,如果不填,表示根CA
     ├── -issuerKeyAlias                  # 颁发者的密钥别名,可选项,如果不填,表示根CA
     ├── -issuerKeyPwd                    # 颁发者的密钥口令,可选项
     ├── -subject                         # 证书主题,必填项
     ├── -validity                        # 证书有效期,可选项,默认为3650天
     ├── -signAlg                         # 签名算法,必填项,包括SHA256withRSA / SHA384withRSA / SHA256withECDSA / SHA384withECDSA
     ├── -basicConstraintsPathLen         # 路径长度,可选项,默认为0
     ├── -issuerKeystoreFile              # 签发者密钥库文件,可选项,JKS或P12格式
     ├── -issuerKeystorePwd               #&nbs
最低0.47元/天 解锁文章

200万优质内容无限畅学
OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 1166
OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
国产化操作系统改造实践
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-10 7897
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
鸿蒙南向开发OpenHarmony应用签名 - 系统应用签名
HarmonyOS_666的博客
07-18 2081
OpenHarmony 开源社区提供了标准系统上的部分系统应用,如桌面、SystemUI、设置等,为开发者提供了构建标准系统应用的具体实例,这些应用支持在所有标准系统的设备上使用。本篇文档将介绍如何给这些系统应用进行签名,使它们可以正确的安装和运行在 OpenHarmony 系统上。本篇文档仅用于方便大家学习系统应用的开发和调试,不用做正式项目发布和商用使用。
OpenHarmony定制系统签名
mart!nhu的博客
06-27 2239
为了保证OpenHarmony应用的完整性和来源可靠,在应用构建时需要对应用进行签名。经过签名的应用才能在真机设备上安装、运行、和调试。developtools_hapsigner仓提供了签名工具的源码,包含密钥对生成、CSR文件生成、证书生成、Profile文件签名、Hap包签名等功能。OpenHarmony系统中有一套默认签名信息,用于应用的开发和调试。当系统厂商正式发布系统时,需要新增或替换私有签名信息,本篇文档将介绍如何生成私有签名并在系统中进行配置。本文档需准备Java和Gradle编译环境。
OpenHarmony SystemUI 3.2Release签名和编译
qq_45870343的博客
12-08 1568
OpenHarmony 实战开发——应用HAP包签名
weixin_42617406的博客
09-03 462
背景OpenAtom OpenHarmony(以下简称“OpenHarmony”)应用如果需要对外发布就必须要通过应用签名,DevEco Studio已提供自动签名功能加速应用开发,但自动签名仅限于debug开发,如需对外发布则必须完成release签名。在OpenHarmony中有AGC应用商店可以帮助开发者完成rele...
openharmony标准系统之app手动签名
qq_41795122的博客
05-26 2400
今天在标准系统上使用DevEco Studio 3.0 Beta2开发app时,想直接在真机上运行,结果提示吐下信息, App Launch Install Failed: [Info]App install path:D:\APP\HarmonyOS\Project\openHarmonyProject\standard\HelloWorld\entry\build\outputs\hap\debug\entry-debug-standard-ark-unsigned.hap, queuesize:0
配置OpenHarmony应用签名信息
Android8.x和Android9.x平台user版本打开UART输出并支持控制台输入和user版本adb root的方法
10-12 1372
鸿蒙应用签名文件生成及错误解决
OpenHarmony应用签名 - 系统应用签名
TiZizzz
02-27 2290
OpenHarmony开源社区提供了标准系统上的部分系统应用,如桌面、SystemUI、设置等,为开发者提供了构建标准系统应用的具体实例,这些应用支持在所有标准系统的设备上使用。本篇文档将介绍如何给这些系统应用进行签名,使它们可以正确的安装和运行在OpenHarmony系统上。
OpenHarmony实战开发-Hap包签名工具指导
m0_70749039的博客
05-22 1587
1.该工具基于Gradle 7.1编译构建,请确认环境已安装配置Gradle环境,并且版本高于或等于7.1。
鸿蒙开发应用签名相关—厂商私有签名配置和使用
m0_70749039的博客
05-30 1406
私有签名信息和密钥如何在系统源码中进行配置,使系统原生支持私有厂商签名签出的应用安装。
相机中滤镜、贴纸、美颜等图像处理模块的设计思路:性能、架构与定制化融合路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-07 653
现代相机应用中的滤镜、贴纸与美颜等图像处理模块,已经从视觉修饰的附属功能演进为用户选择相机 App 的核心体验因素。如何将这些处理能力高效嵌入拍摄流程、实现模块化管理与动态配置,同时保证实时性与视觉质量,是移动端相机架构中的重要课题。本文将围绕滤镜渲染管线、贴纸叠加策略、美颜处理链路等展开技术剖析,并提出一套面向灵活集成、性能优化与定制拓展的架构设计思路。
OpenHarmony应用签名 - 系统应用签名(4.0-Release)
TiZizzz
12-15 2099
OpenHarmony开源社区提供了标准系统上的部分系统应用,如桌面、SystemUI、设置等,为开发者提供了构建标准系统应用的具体实例,这些应用支持在所有标准系统的设备上使用。本篇文档将介绍如何给这些系统应用进行签名,使它们可以正确的安装和运行在OpenHarmony系统上。
OpenHarmony4.0 系统应用签名
QliumengQ的博客
01-16 846
OpenHarmony 系统应用需要在DevEco Studio单独开发编译,不能使用build.sh hb编译,比如等。Launcher源码中有默认的签名配置,直接就可以使用。Settings签名文件里面只有settings.p7b,虽然可以使用DevEco Studio默认自动签名,但是我发现push到设备里面后,点击应用,应用列表无法刷新,所以我想应该还是签名的问题,所以还是需要系统签名
OpenHarmony系统应用权限管控与签名
青春不言败
09-15 3485
底层由BundleMgr提供了判断是否是三方应用的能力。上层是否是系统应用取决于签名时的字段,如果是则为普通应用,是则为系统应用。
OpenHarmony3.1安全子系统-签名系统分析
w5678912345的专栏
05-17 2645
应用签名系统主要负责鸿蒙hap应用包的签名完整性校验,以及应用来源识别等功能。应用完整性校验模块给其他模块提供的接口;通过验签,保障应用包完整性,防篡改;通过匹配签名证书链与可信源列表,识别应用来源。
OpenHarmony应用签名 - DevEco Studio 自动签名(4.0-Release)
TiZizzz
12-15 2954
为了保证OpenHarmony应用的完整性和来源可靠,在应用构建时需要对应用进行签名。经过签名的应用才能在设备上安装、运行、和调试。
OpenHarmony应用签名 - 厂商私有签名的配置和使用
TiZizzz
07-10 1336
本文我们将介绍:私有签名信息和密钥如何在系统源码中进行配置,使系统原生支持私有厂商签名签出的应用安装;部分的系统应用是由编译子系统编译成hap装入系统中,如何配置这些系统应用的签名;如何使用Debug级别的签名文件给应用签名;厂商私有签名如何在DevEco Studio的工程中进行配置。
最新鸿蒙版本没有"ohos.permission.SYSTEM_FS"权限
最新发布
07-19
<think>我们正在解决Uniapp编译的鸿蒙应用在最新版本中因缺少`ohos.permission.SYSTEM_FS`权限而无法挂载`/vendor/etc/vulkan`目录的问题。根据用户提供的信息,我们注意到在鸿蒙系统中,访问系统目录需要显式声明权限,并且可能需要在配置文件中进行设置。同时,用户还提供了两个引用,其中引用[1]展示了在vendor目录下的config.json配置,引用[2]展示了Zygote在fork SystemServer时设置权限的参数。 解决方案要点: 1. 在Uniapp项目的鸿蒙模块中,正确声明`ohos.permission.SYSTEM_FS`权限。 2. 考虑到鸿蒙最新版本(如4.0)的权限管理可能更加严格,我们可能需要动态请求权限。 3. 避免直接挂载系统目录,而是将所需文件复制到应用沙箱目录中操作。 具体步骤: 步骤1:在配置文件中声明权限 打开Uniapp鸿蒙项目的`entry/src/main/resources/config.json`文件,在`reqPermissions`数组中添加`ohos.permission.SYSTEM_FS`权限。 步骤2:动态请求权限(如果需要) 在鸿蒙最新版本中,某些敏感权限需要动态申请。我们可以在应用启动时或执行挂载操作前请求权限。 步骤3:使用鸿蒙文件系统API访问目录 使用`@ohos.file.fs`模块来访问系统目录,并将需要的文件复制到应用沙箱目录中,而不是直接挂载。 步骤4:处理沙箱环境(如果适用) 如果应用运行在沙箱环境(如支付宝沙箱),需要设置环境并确保权限请求在沙箱环境中同样有效。 详细实现: 1. 修改config.json: ```json { "module": { "reqPermissions": [ { "name": "ohos.permission.SYSTEM_FS", "reason": "需要访问/vendor/etc/vulkan目录以支持Vulkan功能", "usedScene": { "ability": [ "EntryAbility" ], "when": "always" } } ] } } ``` 2. 在EntryAbility中动态请求权限(以EntryAbility为例): ```typescript import abilityAccessCtrl, { Permissions } from '@ohos.abilityAccessCtrl'; import common from '@ohos.app.ability.common'; export default class EntryAbility extends UIAbility { async onWindowStageCreate(windowStage: window.WindowStage) { // 动态请求权限 let atManager = abilityAccessCtrl.createAtManager(); try { let permissions: Array<Permissions> = ['ohos.permission.SYSTEM_FS']; await atManager.requestPermissionsFromUser(this.context, permissions); // 权限授予后,执行挂载操作(实际是复制文件) this.mountVulkanDir(); } catch (err) { console.error(`权限请求失败: ${err.message}`); } } async mountVulkanDir() { try { let srcDir = '/vendor/etc/vulkan'; let destDir = this.context.filesDir + '/vulkan'; // 确保目标目录存在 let fileManager = fs.createFileManager(this.context); if (!fileManager.access(srcDir)) { console.error(`源目录${srcDir}不可访问`); return; } // 复制目录 let dir = fs.opendirSync(srcDir); let dirent = dir.readSync(); while (dirent !== undefined) { let srcPath = srcDir + '/' + dirent.name; let destPath = destDir + '/' + dirent.name; if (dirent.isFile()) { fs.copyFileSync(srcPath, destPath); } else if (dirent.isDirectory()) { // 递归复制目录,这里简化处理,实际需要递归 // 注意:鸿蒙的fs模块目前可能不支持递归复制,需要手动递归 // 这里建议使用第三方库或自己实现递归复制 } dirent = dir.readSync(); } dir.closeSync(); console.log('Vulkan配置文件已复制到应用沙箱目录'); } catch (err) { console.error(`复制Vulkan配置文件失败: ${err.message}`); } } } ``` 注意:上面的递归复制目录需要进一步实现,这里仅提供思路。由于鸿蒙的fs模块功能有限,可能需要自己实现递归复制。 3. 替代挂载:我们不再挂载`/vendor/etc/vulkan`,而是将文件复制到应用沙箱目录,然后在应用中使用沙箱目录中的文件。 4. 沙箱环境处理:如果应用运行在支付宝沙箱等环境中,需要在初始化时设置沙箱环境,并确保权限请求逻辑在沙箱环境中也能工作。但注意,沙箱环境可能不允许访问系统目录,因此复制操作可能失败。在这种情况下,我们可能需要准备模拟的vulkan配置文件放在沙箱环境的私有目录中。 5. 注意事项: - 鸿蒙系统系统目录的保护严格,即使声明了权限也可能无法访问,因此复制操作可能仍然受限。如果复制失败,可能需要考虑其他方案,如让系统服务提供访问接口。 - 在真机上测试时,需要确保设备已经授权该权限。 总结:通过以上步骤,我们可以在鸿蒙最新版本中解决权限不足的问题。但需要注意的是,直接访问`/vendor`目录在非系统应用中通常是不允许的,因此复制文件到沙箱目录是一种可行的替代方案。 如果遇到权限被拒绝,请检查以下事项: - 设备是否已经root(普通应用无法获取root权限)。 - 是否在设备的设置中手动授予了应用文件系统权限。 - 是否在正确的配置文件中声明了权限(注意鸿蒙项目可能有多个配置文件,确保修改的是entry模块的config.json)。 最后,如果应用必须挂载该目录(而不是复制),则可能需要将应用作为系统应用签名并预置到系统中,但这超出了普通应用开发的范畴。 生成相关问题: §§相关问题§§ 1. 如何在鸿蒙OS中实现目录的递归复制? 2. 如何将Uniapp应用打包为鸿蒙系统应用以获取更高权限? 3. 鸿蒙OS中哪些权限需要动态申请? 4. 在鸿蒙沙箱环境中如何模拟系统目录访问?</think>### 解决Uniapp鸿蒙应用缺少`ohos.permission.SYSTEM_FS`权限导致挂载失败的问题 在最新鸿蒙版本(如OpenHarmony 4.0)中,解决Uniapp应用因缺少`ohos.permission.SYSTEM_FS`权限而无法挂载`/vendor/etc/vulkan`目录的问题,需结合权限声明、动态请求和文件访问策略。以下是完整解决方案: --- #### 一、核心解决步骤 1. **在config.json中声明系统权限** 修改Uniapp鸿蒙模块的配置文件: ```json path=entry/src/main/resources/config.json { "module": { "reqPermissions": [ { "name": "ohos.permission.SYSTEM_FS", "reason": "需要访问Vulkan配置文件目录", "usedScene": { "ability": ["EntryAbility"], // 指定使用此权限的Ability "when": "always" } }, { "name": "ohos.permission.WRITE_MEDIA", "reason": "复制文件到沙箱目录" } ] } } ``` > **关键说明**: > - `ohos.permission.SYSTEM_FS`是访问系统目录的必要权限[^1] > - 鸿蒙4.0+要求明确声明`usedScene`字段 2. **动态请求敏感权限(鸿蒙4.0+强制要求)** 在应用启动时请求权限: ```typescript path=entry/src/main/ets/entryability/EntryAbility.ts import abilityAccessCtrl from '@ohos.abilityAccessCtrl'; import common from '@ohos.app.ability.common'; export default class EntryAbility { async onWindowStageCreate(windowStage: common.WindowStage) { // 动态请求权限 const atManager = abilityAccessCtrl.createAtManager(); try { await atManager.requestPermissionsFromUser( this.context, ['ohos.permission.SYSTEM_FS', 'ohos.permission.WRITE_MEDIA'] ); this.mountVulkanFiles(); // 权限获取后执行挂载 } catch (err) { console.error(`权限请求失败: ${err.code}, ${err.message}`); } } private async mountVulkanFiles() { // 实现见下一步 } } ``` 3. **安全访问系统目录(替代直接挂载)** 使用鸿蒙文件API复制文件到沙箱目录: ```typescript import fs from '@ohos.file.fs'; private async mountVulkanFiles() { const sysVulkanPath = '/vendor/etc/vulkan'; const sandboxPath = this.context.filesDir + '/vulkan'; // 沙箱目录 try { // 检查系统目录是否存在 const stat = await fs.stat(sysVulkanPath); if (!stat.isDirectory) return; // 创建沙箱子目录 await fs.ensureDir(sandboxPath); // 复制文件到沙箱 const dir = fs.opendirSync(sysVulkanPath); let dirent = dir.readSync(); while (dirent !== undefined) { const srcPath = `${sysVulkanPath}/${dirent.name}`; const destPath = `${sandboxPath}/${dirent.name}`; if (dirent.isFile) { await fs.copyFile(srcPath, destPath); } dirent = dir.readSync(); } dir.closeSync(); console.log('Vulkan配置文件已复制到沙箱'); } catch (error) { console.error(`文件操作失败: ${error.message}`); } } ``` --- #### 二、针对鸿蒙4.0+的特殊处理 1. **SELinux策略适配** 如果设备启用了SELinux(如配置中`"build_selinux": true`[^1]),需在设备侧添加策略: ```text path=/vendor/etc/selinux/targeted/policy/file_contexts /vendor/etc/vulkan/.* u:object_r:system_file:s0 ``` 允许应用域访问: ```text path=/vendor/etc/selinux/targeted/policy/untrusted_app.te allow untrusted_app system_file:dir { search read open }; allow untrusted_app system_file:file { read open getattr }; ``` 2. **规避沙箱限制的替代方案** 如果沙箱环境严格限制系统访问: ```typescript // 在沙箱环境中使用模拟配置 import systemparameter from '@ohos.systemparameterEnhance'; async getVulkanConfig() { const isSandbox = await systemparameter.get('const.ohos.sandbox'); if (isSandbox === 'true') { return this.context.filesDir + '/mock_vulkan.conf'; // 预置的模拟文件 } else { return this.context.filesDir + '/vulkan'; // 真实配置 } } ``` --- #### 三、调试与验证 1. **权限检查命令** 通过ADB验证权限授予状态: ```shell hdc shell aa dump | grep -A 5 "你的包名" ``` 输出中应包含: ```text granted permissions: ohos.permission.SYSTEM_FS ``` 2. **日志监控** 在`EntryAbility`中添加错误捕获: ```typescript catch (error) { const err: BusinessError = error as BusinessError; if (err.code === 201 || err.code == 12800003) { console.error('SYSTEM_FS权限被拒绝'); // 引导用户到设置页 abilityAccessCtrl.startSettingsForResult( this.context, { action: 'ohos.settings.APPLICATION_DETAILS_SETTINGS' } ); } } ``` --- #### 四、备选系统级方案 > 适用于预置系统应用场景 ```json path=/vendor/kaihong/khdvk_3566b/config.json { "subsystem": "security", "components": [ { "component": "permission_lite", "features": [ "enable_granted_list = true", "granted_list = [ohos.permission.SYSTEM_FS]" ] } ] } ``` 此配置将权限加入白名单[^1],但需设备厂商支持。 > **最佳实践**:优先使用沙箱目录复制方案,避免直接挂载系统目录。鸿蒙4.0+对系统目录访问限制更严格,非系统应用即使声明权限也可能受限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值