AOSP Android 13——编译release版签名系统

原创 已于 2023-03-24 14:49:41 修改 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2023-01-04 16:21:14 首次发布
文章介绍了Android系统中默认的签名key类型,如testkey、platform等,以及如何自定义签名Key。在编译系统时,可以通过修改配置文件如`DEFAULT_SYSTEM_DEV_CERTIFICATE`来改变默认签名key,确保release版本的安全性。此外,文章还提到了安装系统和更新的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 一:签名类型

android的标准签名key有:

testkey

media
platform
shared
以上的四种,可以在源码的/build/target/product/security里面看到对应的密钥,其中shared.pk8代表私钥,shared.x509.pem公钥,一定是成对出现的。

其中testkey是作为android编译的时候默认的签名key,如果系统中的apk的android.mk中没有设置LOCAL_CERTIFICATE的值,就默认使用testkey。

而如果设置成:

LOCAL_CERTIFICATE := platform

就代表使用platform来签名,这样的话这个apk就拥有了和system相同的签名,因为系统级别的签名也是使用的platform来签名,此时使用android:sharedUserId="android.uid.system"才有用!
 

二:自定义签名Key

在/build/target/product/security目录下有个README,里面有说怎么制作这些key以及使用问题(android4.2):

The following commands were used to generate the test key pairs:
 
  development/tools/make_key testkey  '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key platform '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key shared   '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
  development/tools/make_key media    '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
 
The following standard test keys are currently included:
 
testkey -- a generic key for packages that do not otherwise specify a key.
platform -- a test key for packages that are part of the core platform.
shared -- a test key for things that are shared in the home/contacts process.
media -- a test key for packages that are part of the media/download system.
 
These test keys are used strictly in development, and should never be assumed
to convey any sort of validity.  When $BUILD_SECURE=true, the code should not
honor these keys in any context.

或者执行命令:

subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
mkdir ~/.android-certs
for x in releasekey platform shared media networkstack; do \
    ./development/tools/make_key ~/.android-certs/$x "$subject"; \
  done

 然后把相关文件拷贝到/build/target/product/security目录

来自:签名版本以供发布  |  Android 开源项目  |  Android Open Source Project

从上面可以看出来在源码下的/development/tools目录下有个make_key的脚本,通过传入两个参数就可以生成一对签名用的key。
其中第一个为key的名字,一般都默认成android本身有的,因为很多地方都默认使用了这些名字,我们自定义的话只需要对第二个参数动手脚,定义如下:

C ---> Country Name (2 letter code)
ST ---> State or Province Name (full name)
L ---> Locality Name (eg, city)
O ---> Organization Name (eg, company)
OU ---> Organizational Unit Name (eg, section)
CN ---> Common Name (eg, your name or your server’s hostname)
emailAddress ---> Contact email address
另外在使用上面的make_key脚本生成key的过程中会提示输入password,我的处理是不输入,直接enter,不要密码!后面解释,用自定义的key替换/security下面的。

可以看到android源码里面的key使用的第二个参数就是上面README里面的,是公开的,所以要release版本的系统的话,肯定要有自己的签名key才能起到一个安全控制作用。

三、修改系统默认签名key

在上面提到如果apk中的编译选项LOCAL_CERTIFICATE没有设置的话,就会使用默认的testkey作为签名key,我们可以修改成自己想要的key,按照上面的步骤制作一个releasekey.

通过在源码根目录搜索关键字:

grep -rn "test-keys" ./*

修改android配置在/build/core/config.mk中定义变量: 

  DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/releasekey

 在主/build/core/makefile文件里面:

ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/releasekey)
BUILD_VERSION_TAGS += release-keys

或者直接在pixelexperience aosp里面文件修改

vim ./vendor/aosp/build/core/main_version.mk

把BUILD_SIGNATURE_KEYS := test-keys

ifneq ($(filter OFFICIAL,$(CUSTOM_BUILD_TYPE)),)
BUILD_SIGNATURE_KEYS := release-keys
else
BUILD_SIGNATURE_KEYS := release-keys
endif

这样的话默认的所有签名将会使用releasekey。

最后重新编译系统。

安装系统:

来自:Install PixelExperience on alioth - PixelExperience Wiki

1、Flashing the vendor boot partition(当前不是pixelexperience系统时需要操作)

fastboot flash vendor_boot <vendor_boot>.img

2、Flash a recovery on your device by typing (replace <recovery_filename> with the actual filename!):

fastboot flash boot boot.img

3、Now reboot into recovery to verify the installation

fastboot reboot-recovery

 4、Installing PixelExperience from recovery

  1. Now tap Factory Reset, then Format data / factory reset and continue with the formatting process. This will remove encryption and delete all files stored in the internal storage, as well as format your cache partition (if you have one).
  2. On the device, select “Apply Update”, then “Apply from ADB” to begin sideload.
  3. On the host machine, sideload the package using:  
    adb sideload filename.zip

Android系统10 RK3399 init进程启动(三十五) 属性文件介绍和生成过程_旗浩的技术博客_51CTO博客

参考:[原创]源码编译(4)——root指纹定制和抹除-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com (kanxue.com) 

Aosp系统编译定制系统签名
zhonglunshun的专栏
12-20 1353
商业化产品,如果使用默认的签名,一是不安全,而是显得没啥技术。就连谷歌官方也说了,不建议使用testkey作为最终发布的key,因此,定制系统签名就派上用场了。具体使用方法谷歌给了一个大致的说法,我们可以在aosp的自述文件中找到,位置位于,我们来看看光放原文:老实说一般人还真不一定看得懂,因此我决定自己实践一下,然后把实践的过程分享给大家,希望抛砖引玉,让大家少走一些弯路。由于利用系统签名生成keystore的方式网上一大把而且没有太多坑,这里不赘述,只说说如何定制系统签名
Android 13.0 修改系统签名文件类型test-keys为release-keys
安卓兼职framework和app工程师的博客
10-19 1585
android13.0进行定制化开发设备的时候,有些客户在设备上可能会安装安兔兔 来测试机器的性能,所以就难免会被检测出来被root过,但是由于一些设备特殊的权限要求,有些机器开发的需求会被root掉,设备开启root权限,但是又不想让用户看到机器被root过,所以要从检测的方式看怎么被检测出来的,修改掉系统签名文件类型就好 接下来就分析下相关的系统签名文件类型的设置,然后就实现相关的功能分析
android Framework 探究】android 13 aosp 全记录 - 编译
lucky_tom的专栏
11-20 6673
自从关注Framework这一块儿,就有了自己编译aosp刷机的想法,模拟器当然是可以的,但是体验感还不能和真机想比,于是买一个二手piexl的想法就有了,根据预算选定piexl 5,支持最新的android 13,二手平台挑挑拣拣时间拉的有点长,不如中间就开始先编译好。
Android 13中 配置签名文件与内置相应的Apk
最新发布
weixin_48495360的博客
05-28 1061
在展讯平台中Android13的源码已知的情况下,客户写了一个测试类用于调用系统中的一些接口来检验一些功能。为了方便调试排查问题我首先的思路是将客户写的测试代码做成apk,内置进入到Android13系统当中。3.我们将测试代码放进Androidstudio当中在其app目录下新建key目录,将platform.jks放到key目录下,同时在 build.gradle下添加下述代码。生成完相应的apk,咱就可以用adb直接install进入到我们的系统中,进行进一步调试。之后直接运行文件即可。
Android13 系统签名应用编译调试说明
wenzhi的博客
12-19 1562
Android11之前一直可以用系统签名文件编译系统签名apk,但是开发Android13系统应用后,就有点问题了,发现使用系统签名文件编译系统签名apk安装到设备上会失败,以为搞不了了,但是看到有的同事是OK的,等了一段时间后分析处理了。本文记录一下这种系统签名应用调试的过程。我之前安装的Android Studio 本是2021年的,Android Gradle 本是6.5;后面发现安装2024年的Android Studio,并且使用Gradle8.7 就ok,
aosp13 源码下载以及编译
我的博客
04-14 707
aosp
Ubuntu 22.04编译AOSP Android 13
weixin_41678668的博客
03-24 2009
下面选择自己想要的本,如果想要启动模拟器的话,要选择sdk开头的,比如aosp_car_x86_64-userdebug是无法启动模拟器的,sdk_car_x86_64-userdebug 可以启动模拟器。-j后面的数字为使用cpu的线程数,我的电脑是20线程,我选择16防止电脑卡顿,后面编译也是如此。创建保存代码的目录,我下载分支为android-13.0.0_r35,如果想下载其他分支,请查看。等待编译完成,我编译了一个半小时,如果选择-j16的话应该会更快。如果切换了终端窗口,则执行。
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1046
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
安卓Android源码——本检测与管理.zip
10-12
9. **编译构建系统**:Android使用构建工具如Maven或Gradle,源码中会包含构建脚本,用于编译、打包和签名APK,同时也涉及本信息的注入。 10. **设备差异化**:不同的设备可能需要针对特定本进行优化,源码中...
Android系统级深入开发——移植与调试 pdf
01-07
4. **系统编译与构建**:AOSPAndroid开放源码项目)提供了构建系统,开发者需要学习使用mm、mmm等命令编译特定模块,以及使用source build/envsetup.sh和lunch来配置编译环境和选择目标设备。 5. **Android运行时...
Android 11源码——预置无源码apk到Android系统
tracy的博客
04-18 1770
Android 11源码——预置无源码apk到Android系统 在 packages/apps 下面以需要预置的 APK 名字创建文件夹,以预置一个名为 Test 的APK为例。 将 Test.apk 放到 packages/apps/Test 下面。 在 packages/apps/Test 下面创建文件 Android.mk,文件内容如下:LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE_TAGS := optional
AOSP13搭建基于Clang的ko交叉编译环境
11-30 1482
AOSP13的内核使用的编译器为Clang,因此搭建AOSP13的ko编译环境,也需要使用Clang。
Android系统签名文件类型从test-keys修改为release-keys
2301_79331387的博客
08-12 594
同时,合理选择签名文件的类型,在测试和调试阶段使用test-keys,在发布正式本时使用release-keys,以确保应用程序的安全性和正常运行。其中,my-release-key.jks 是保存签名文件的文件名,my-alias 是密钥的别名,RSA 是密钥算法,2048 是密钥长度,validity 表示签名的有效期限,单位是天。其中,my-release-key.jks 是签名文件,app-release-unsigned.apk 是待签名的应用程序文件,my-alias 是签名文件中的别名。
第十三期 AOSP 编译环境初始化过程分析《手机就是开发板》
aggresss
01-01 2473
在之前的实验中,我们使用几个简单的命令就可以编译出适用于模拟器qemu运行的Android客户端 : source ./build/envsetup.sh 然后 lunch 最后 make,等上一盏茶的功夫,镜像就编译出来了。对于经常下载源码自己编译的兄弟一定很好奇,AOSP编译方式在表面上和Automake和Cmake的方式都不相同。因为AOSP比Linux内核的编译过程要复杂,Google为它
Ubuntu 22.04.3编译AOSP13刷机和WSL刷机问题解决
窦哲的专栏
11-24 2056
驱动文件解压缩后是sh脚本文件,把sh脚本文件移动到aosp根目录下并执行,输入 I ACCEPT 获取驱动文件。以android-13.0.0_r31为例,对应build ID为TP1A.221005.002.B2。解压缩,切换到Pixel 4XL对应的AOSP 13分支然后同步代码。Ubuntu设置后才能adb连接到手机。在aosp根目录执行下面命令。手机:Pixel 4XL。中获取build ID。根据build ID在。
Android Framework | AOSP源码下载及编译指南(基于Android13)
chuyouyinghe的专栏
01-16 5345
对于拿到了厂商AOSP源码来说,编译调试更容易了,一般厂商都提供了集成好的脚本,直接执行脚本就可以执行编译打包能力,例如Rockchip、高通、MTK等都有集成好的脚本进行编译打包。如何只是浏览查看AOSP源码,则没必要下载源码,可以使用google提供的Code Search工具进行浏览查阅,这个工具用起来堪比IDE,并且非常流畅,但是访问这个站点需要翻墙操作。AOSP的代码托管在Google的Git服务器上,但由于一些普遍已知的原因,国内用户无法直接访问。例如,如果您的计算机有4个核心,则可以使用。
android生成系统应用签名
分享技术与经验的博客
04-07 1696
1、编译android源码。 2、cd build/target/product/security/ 已有platform.pk8和platform.x509.pem文件可省略1-2步骤 3、执行 openssl pkcs8 -inform DER -nocrypt -in platform.pk8 -out platform.pem 需要安装openssl,安装完后配置openssl环境(下载地址:http://slproweb.com/products/Win32OpenSSL.html)详见博客
Android系统签名的制作与使用
让学习编程变得生动有趣~
03-17 6083
1.📂 背景 2.🔱 制作Android系统签名 步骤一:找到platform.pk8和platform.x509.pem签名文件 步骤二:下载keytool-importkeypair签名工具 步骤三:使用签名文件和签名工具生成.jks签名文件 3.✅ 使用Android系统签名 步骤一:在项目的app模块根目录下新建signing.properties文件 步骤二:将生成的xxx.jks文件放在项目的app模块根目录下 步骤三:app模块build.gradle中新增签名信息
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值