Android系统替换证书

最新推荐文章于 2024-03-13 22:00:13 发布
置顶 最新推荐文章于 2024-03-13 22:00:13 发布
阅读量937 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Android 系统开发 Android 开发 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/duty_is_codeing/article/details/117705116

证书说明README

build/target/product/security/README

For detailed information on key types and image signing, please see:

https://source.android.com/devices/tech/ota/sign_builds.html

The test keys in this directory are used in development only and should
NEVER be used to sign packages in publicly released images (as that would
open a major security hole).

key generation
--------------

The following commands were used to generate the test key pairs:

  development/tools/make_key testkey  '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key platform '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key shared   '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key media    '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'

signing using the openssl commandline (for boot/system images)
--------------------------------------------------------------

1. convert pk8 format key to pem format
   % openssl pkcs8 -inform DER -nocrypt -in testkey.pk8 -out testkey.pem

2. create a signature using the pem format key
   % openssl dgst -binary -sha1 -sign testkey.pem FILE > FILE.sig

extracting public keys for embedding
------------------------------------

dumpkey.jar is a Java tool that takes an x.509 certificate in PEM format as
input and prints a C structure to standard output:

    $ java -jar out/host/linux-x86/framework/dumpkey.jar build/target/product/security/testkey.x509.pem
    {64,0xc926ad21,{1795090719,2141396315,950055447,2581568430,4268923165,1920809988,546586521,3498997798,1776797858,3740060814,1805317999,1429410244,129622599,1422441418,1783893377,1222374759,2563319927,323993566,28517732,609753416,1826472888,215237850,4261642700,4049082591,3228462402,774857746,154822455,2497198897,2758199418,3019015328,2794777644,87251430,2534927978,120774784,571297800,3695899472,2479925187,3811625450,3401832990,2394869647,3267246207,950095497,555058928,414729973,1136544882,3044590084,465547824,4058146728,2731796054,1689838846,3890756939,1048029507,895090649,247140249,178744550,3547885223,3165179243,109881576,3944604415,1044303212,3772373029,2985150306,3737520932,3599964420},{3437017481,3784475129,2800224972,3086222688,251333580,2131931323,512774938,325948880,2657486437,2102694287,3820568226,792812816,1026422502,2053275343,2800889200,3113586810,165549746,4273519969,4065247892,1902789247,772932719,3941848426,3652744109,216871947,3164400649,1942378755,3996765851,1055777370,964047799,629391717,2232744317,3910558992,191868569,2758883837,3682816752,2997714732,2702529250,3570700455,3776873832,3924067546,3555689545,2758825434,1323144535,61311905,1997411085,376844204,213777604,4077323584,9135381,1625809335,2804742137,2952293945,1117190829,4237312782,1825108855,3013147971,1111251351,2568837572,1684324211,2520978805,367251975,810756730,2353784344,1175080310}}

This is called by build/make/core/Makefile to incorporate the OTA signing keys
into the recovery image.

在BoradConfig中定义参数
device/qcom/msm8937_32/BoardConfig.mk

BOARD_PROPERTY_OVERRIDES_SPLIT_ENABLED := true

替换原生证书 将里面build/target/product/security

#生成证书
subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
mkdir ~/.android-certs
for x in releasekey platform shared media networkstack; do \
    ./development/tools/make_key ~/.android-certs/$x "$subject"; \
  done

系统默认key配置
build/make/core/Makefile

# The "test-keys" tag marks builds signed with the old test keys,
# which are available in the SDK.  "dev-keys" marks builds signed with
# non-default dev keys (usually private keys from a vendor directory).
# Both of these tags will be removed and replaced with "release-keys"
# when the target-files is signed in a post-build step.
ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/testkey)
BUILD_KEYS := test-keys
else
	BUILD_KEYS := release-keys
endif

Makefile 里面定义otacerts 证书,校验升级包是否正确

# -----------------------------------------------------------------
# Build a keystore with the authorized keys in it, used to verify the
# authenticity of downloaded OTA packages.
#
# This rule adds to ALL_DEFAULT_INSTALLED_MODULES, so it needs to come
# before the rules that use that variable to build the image.
ALL_DEFAULT_INSTALLED_MODULES += $(TARGET_OUT_ETC)/security/otacerts.zip
$(TARGET_OUT_ETC)/security/otacerts.zip: KEY_CERT_PAIR := $(DEFAULT_KEY_CERT_PAIR)
$(TARGET_OUT_ETC)/security/otacerts.zip: $(addsuffix .x509.pem,$(DEFAULT_KEY_CERT_PAIR)) | $(ZIPTIME)
	$(hide) rm -f $@
	$(hide) mkdir -p $(dir $@)
	$(hide) zip -qjX $@ $<
	$(remove-timestamps-from-package)

#ota包签名

# Keys authorized to sign OTA packages this build will accept.  The
# build always uses dev-keys for this; release packaging tools will
# substitute other keys for this one.
OTA_PUBLIC_KEYS := $(DEFAULT_SYSTEM_DEV_CERTIFICATE).x509.pem

# Generate a file containing the keys that will be read by the
# recovery binary.
RECOVERY_INSTALL_OTA_KEYS := \
	$(call intermediates-dir-for,PACKAGING,ota_keys)/keys
DUMPKEY_JAR := $(HOST_OUT_JAVA_LIBRARIES)/dumpkey.jar
$(RECOVERY_INSTALL_OTA_KEYS): PRIVATE_OTA_PUBLIC_KEYS := $(OTA_PUBLIC_KEYS)
$(RECOVERY_INSTALL_OTA_KEYS): extra_keys := $(patsubst %,%.x509.pem,$(PRODUCT_EXTRA_RECOVERY_KEYS))
$(RECOVERY_INSTALL_OTA_KEYS): $(OTA_PUBLIC_KEYS) $(DUMPKEY_JAR) $(extra_keys)
	@echo "DumpPublicKey: $@ <= $(PRIVATE_OTA_PUBLIC_KEYS) $(extra_keys)"
	@rm -rf $@
	@mkdir -p $(dir $@)
	$(JAVA) -jar $(DUMPKEY_JAR) $(PRIVATE_OTA_PUBLIC_KEYS) $(extra_keys) > $@

DEFAULT_SYSTEM_DEV_CERTIFICATE 赋值

build/make/core/config.mk

# The default key if not set as LOCAL_CERTIFICATE
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
  DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
else
  DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/releasekey
endif

在API 28基础上修改selinux keys配置

system/sepolicy/private/keys.conf
system/sepolicy/prebuilts/api/28.0/private/keys.conf

查看apk证书
keytool -printcert -jarfile ***.apk

Android13 系统/用户证书安装相关分析总结(二) 如何增加一个安装系统证书的接口
fighting_2017的博客
11-05 601
接着上回说,最初是为了写一个SDK的接口,需求大致是增加证书安装卸载的接口(系统、用户)。
Android 7.0以上版本将Charles证书转换并添加到Android系统证书,方便HTTPS抓包
m0_59683157的博客
02-07 9087
Android 7.0以上版本将Charles证书转换并添加到Android系统证书,方便HTTPS抓包
Android如何安全替换证书
余小生的博客
12-25 2904
Android如何安全替换证书证书过期了?!!V1和V2签名方式V3签名方式鸡肋的V3最后 证书过期了?!! 也不知道当初是那条筋搭错了,将证书的时间弄得这么短,在这里强烈的提醒一下各位,在生成证书的时候一定要注意一下时间,一般将时间设在25年以上就可以了(上架到google play是必须在25年以上的)。现在证书过期了,那么没办法,只能换了,直接替换证书会有一个问题就是需要将之前的旧证书的app卸载之后才能重装。这就问题大了。这样用户的数据不就没了吗?看来还是得找别的方案。 V1和V2签名方式 用过An
android开发之&修改Android正式签名证书,调试三方应用
〤twinkle╰ つ青春
04-15 2261
今天要调试三方程序,每次都打包测试特别麻烦,后来就想到修改签名文件,以前没弄过,废了好大力气才弄完,特意写出方法,避免大家跳坑。 1. 首先先复制一份正式证书出来作为要修改为的临时调试证书。 2. 修改keystore密码的命令(keytool为JDK带的命令行工具):打开终端命令,输入keytool后输入下列代码 keytool -storepasswd -keystore m
安卓root后将自有证书修改系统信任证书
刘登辉的博客
04-29 8486
安装完成的证书文件通常保存在 Android 设备的“用户证书”存储区域中。这些证书文件的存储路径通常是:/data/misc/user/0/cacerts-added/,其中的“0”代表的是当前用户的 ID。安卓系统证书存储在/system/etc/security/cacerts目录下,这些证书可以被系统使用和信任。在 Android 设备上,用户安装的证书文件通常存储在设备的存储器中,具体路径可能因设备型号和 Android 系统版本而异。修改证书文件的权限为644,即可读取、可写入,但不可执行。
android如何使用release证书替换debug证书签名来调试
weixin_30883311的博客
12-02 171
  在android开发调试时,eclipse会自动生成一个debug证书并签名,这个证书只有一年的有效期,如果过期了就需要重新生成.同一台机器,同一包名的应用证书不同是无法覆盖安装的.这在一定程序造成了我们调试的困难.使用同一证书的好处是,debug和release版本可以在真机上直接覆盖,一些需要签名认证的服务不需要申请两个版本调试(如百度地图定位,微信分享等).下面介绍一下如何使用relea...
安卓app生成证书
SnowBeatRain的博客
01-06 514
运行系统: mac os运行环境:java version "1.8.0_191" (该版本可以查看生成的md5签名)
android ssl证书生成工具,Android配置SSL证书证书转换
weixin_29822105的博客
05-26 935
1.pfx转ceropenssl pkcs12 -nodes -nokeys -in xxx.pfx -passin pass:证书密码 -out xxx.cer2.下载bouncycastle的jar包wget http://repo2.maven.org/maven2/org/bouncycastle/bcprov-jdk16/1.46/bcprov-jdk16-1.46.jar3.cer转b...
【胖虎的逆向之路】Android自制Https证书实现双向认证
无方少年游
01-02 1807
这里的公钥服务端的公钥,这里的签名是指:用hash散列函数计算公开的明文信息的信息摘要,然后采用 CA 的私钥对信息摘要进行加密,加密完的密文就是签名。Hyper Text Transfer Protocol ,超文本传输协议, 是互联网使用最广泛的一种协议,所有的WWW文件必须遵循的标准,Http协议传输的数据都是未加密的,也就是明文,因此使用Http传输敏感协议是不安全的。SSL 服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性~
Android 系统签名工具,解压可用 自带openssl环境
02-29
5. **验证签名**:当设备安装或运行应用程序时,Android系统会使用公钥证书(`platform.x509.pem`)来验证APK的签名,以确保其未被修改。 在实际操作中,如果这个压缩包中的签名工具用于其他平台,例如高通...
安卓 APK 签名证书过期问题 及 更新签名方案 v3
wsHHo的博客
02-03 6927
APK 签名证书过期是没办法进行续期或者重新生成的,而 Google 则为我们提供了解决方案 - APK 签名方案 v3,本文将介绍如何完成签名方案的升级及验证
Android 14 抓包、安装系统证书
最新发布
qq_35041117的博客
03-13 9685
注意这个 269953fb 名字会用在下面命令的 -out 后面,然后加上【.0】后缀。如果发现连接代理后,没有网络,WIFI显示网络受限,多半还是证书原因。⚠️ 注意:如果手机已经安装了模块,后续追加的证书可以直接放入。如果已经导出 .PEM 文件则跳过。通过上面的命令会拿到一个ID。目录下,再重启手机即可。
android系统签名及修改
zyfzhangyafei的专栏
02-22 6106
系统签名文件目录: build/make/target/product/security 主要签名文件 media.pk8 media.x509.pem networkstack.pk8 networkstack.x509.pem platform.pk8 platform.x509.pem releasekey.pk8 releasekey.x509.pem shared.pk8 shared.x509.pem testkey.pk8 testkey.x509.p...
Android Https证书过期解决方案
gofind
11-14 1482
Android Https证书过期解决方案
如何自定义平台签名以及默认使用
若然的专栏
12-21 4412
【安卓的签名和权限】
xuanyulevel6的博客
01-02 2862
大部分公司在自定义自己的秘钥的时候,都会做出如下修改在产品的mk中指定PRODUCT_DEFAULT_DEV_CERTIFICATE,如:device/amlogic/产品名/产品名.mk:endif一旦指定了PRODUCT_DEFAULT_DEV_CERTIFICATE就不会再使用默认的testkeybuild/core/config.mk文件:elseendif。
Android OTA系统升级---原理三
darwinlong的博客
12-13 1173
最近公司的一个老的项目,现在客户在专网方面遇到一点问题,进行版本升级时,由于客户是公安,比较强硬,要求升级时不能擦除数据,这个可以简单的通过改下打包脚本下参数就能解决。还是花了很长时间来跟踪OTA打包的过程。 ### 相关变量  184 PRODUCT_OUT := $(TARGET_PRODUCT_OUT_ROOT)/$(TARGET_DEVICE)     187    188 HOS
签名与认证
A Flying Bird
05-27 1172
java -jar ./dumpkey.jar ./the_key.x509.pem > ./the_key dumpkey源码: ./system
android 防刷机
lb5761311的专栏
05-28 8277
最近做的一款产品,由于前期失误使用的是 官方的testkey 签名rom包。所以别人rom可以随意刷我们产品盒子,为了改正这个bug我们使用了新的签名刷自己产品。防止别人盗刷我们盒子。 要用新签名rom包,先要理解android升级原理, 第一步: 当我们手动u盘升级或者ota升级下载好update.zip包后。当我们点击升级后,android framework的代码 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值