51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
活动 短视频 专栏 极客Show 鸿蒙技术特刊

OpenHarmony应用签名 - 厂商私有签名 原创 精华

TiZizzz
发布于 2023-5-21 23:19
浏览
6收藏

概述

文档环境

开发环境:Windows 11

DevEco Studio 版本:DevEco Studio 3.1 Release(3.1.0.500)

SDK 版本:3.2.12.5(Full SDK)

开发板型号:DAYU 200

系统版本:OpenHarmony 3.2 Release

涉及仓库:​Hap包签名工具[developtools_hapsigner]

功能简介

为了保证OpenHarmony应用的完整性和来源可靠,在应用构建时需要对应用进行签名。经过签名的应用才能在真机设备上安装、运行、和调试。developtools_hapsigner仓提供了签名工具的源码,包含密钥对生成、CSR文件生成、证书生成、Profile文件签名、Hap包签名等功能。

OpenHarmony系统中有一套默认签名信息,用于应用的开发和调试。当系统厂商正式发布系统时,需要新增或替换私有签名信息,本篇文档将介绍如何生成私有签名并在系统中进行配置。本文档需准备Java和Gradle编译环境。

基本概念

  • 非对称密钥对:数据签名/验签的基础,应用签名工具实现了标准的非对称密钥对生成功能(支持的密钥对类型包括ECC P384/256、RSA2048/3072/4096)
  • CSR:Certificate Signing Request 证书签发请求是生成证书的前提,他包括证书的公钥、证书主题和私钥签名,在申请证书之前,需要先基于密钥对生成CSR,然后提交给CA签发证书。
  • 证书:OpenHarmony采用RFC5280标准构建X509证书信任体系。用于应用签名的OpenHarmony证书共有三级,分为:根CA证书、中间CA证书、最终实体证书,其中最终实体证书分为应用签名证书和profile签名证书。应用签名证书表示应用开发者的身份,可保证系统上安装的应用来源可追溯,profile签名证书实现对profile文件的签名进行验签,保证profile文件的完整性。
  • HAP:OpenHarmony Ability Package 是Ability的部署包,OpenHarmony应用代码围绕Ability组件展开,它是由一个或者多个Ability组成。
  • Profile文件:HarmonyAppProvision 配置文件,hap包中的描述文件,该描述文件描述了已授权的证书权限和设备ID信息等信息。

Profile签名场景:

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

应用签名场景:

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区


如何生成私有签名

准备签名工具

  1. 克隆developtools_hapsigner仓库

git clone https://gitee.com/openharmony/developtools_hapsigner.git

  1. 命令行打开文件目录至developtools_hapsigner/hapsigntool,执行命令进行编译打包

gradle build 或者 gradle jar

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

  1. 编译后得到二进制文件,目录为:

developtools_hapsigner/hapsigntool/hap_sign_tool/build/libs/hap-sign-tool.jar

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

签名工具说明

  • 生成密钥对

generate-keypair : 
     ├── -keyAlias          # 密钥别名,必填项
     ├── -keyPwd            # 密钥口令,可选项
     ├── -keyAlg            # 密钥算法,必填项,包括RSA/ECC
     ├── -keySize           # 密钥长度,必填项,RSA算法的长度为2048/3072/4096,ECC算法的长度NIST-P-256/NIST-P-384
     ├── -keystoreFile      # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd       # 密钥库口令,可选项
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 生成证书签名请求

generate-csr :
     ├── -keyAlias          # 密钥别名,必填项
     ├── -keyPwd            # 密钥口令,可选项
     ├── -subject           # 证书主题,必填项
     ├── -signAlg           # 签名算法,必填项,包括SHA256withRSA / SHA384withRSA / SHA256withECDSA / SHA384withECDSA
     ├── -keystoreFile      # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd       # 密钥库口令,可选项
     ├── -outFile           # 输出文件,可选项,如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.

  • 生成根CA/中间CA证书,如果密钥不存在,一起生成密钥

generate-ca : 
     ├── -keyAlias                        # 密钥别名,必填项
     ├── -keyPwd                          # 密钥口令,可选项
     ├── -keyAlg                          # 密钥算法,必填项,包括RSA/ECC
     ├── -keySize                         # 密钥长度,必填项,RSA算法的长度为2048/3072/4096,ECC算法的长度NIST-P-256/NIST-P-384
     ├── -issuer                          # 颁发者的主题,可选项,如果不填,表示根CA
     ├── -issuerKeyAlias                  # 颁发者的密钥别名,可选项,如果不填,表示根CA
     ├── -issuerKeyPwd                    # 颁发者的密钥口令,可选项
     ├── -subject                         # 证书主题,必填项
     ├── -validity                        # 证书有效期,可选项,默认为3650天
     ├── -signAlg                         # 签名算法,必填项,包括SHA256withRSA / SHA384withRSA / SHA256withECDSA / SHA384withECDSA
     ├── -basicConstraintsPathLen         # 路径长度,可选项,默认为0
     ├── -issuerKeystoreFile              # 签发者密钥库文件,可选项,JKS或P12格式
     ├── -issuerKeystorePwd               # 签发者密钥库口令,可选项
     ├── -keystoreFile                    # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd                     # 密钥库口令,可选项
     ├── -outFile                         # 输出文件,可选项,如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.

  • 生成应用调试/发布证书

generate-app-cert : 
     ├── -keyAlias                        # 密钥别名,必填项
     ├── -keyPwd                          # 密钥口令,可选项
     ├── -issuer                          # 颁发者的主题,必填项
     ├── -issuerKeyAlias                  # 颁发者的密钥别名,必填项
     ├── -issuerKeyPwd                    # 颁发者的密钥口令,可选项
     ├── -subject                         # 证书主题,必填项
     ├── -validity                        # 证书有效期,可选项,默认为3650天
     ├── -signAlg                         # 签名算法,必填项,包括SHA256withECDSA / SHA384withECDSA;
     ├── -keystoreFile                    # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd                     # 密钥库口令,可选项
     ├── -issuerKeystoreFile              # 签发者密钥库文件,可选项,JKS或P12格式
     ├── -issuerKeystorePwd               # 签发者密钥库口令,可选项
     ├── -outForm                         # 输出证书文件的格式,包括 cert / certChain,可选项,默认为certChain
     ├── -rootCaCertFile                  #  outForm为certChain时必填,根CA证书文件
     ├── -subCaCertFile                   #  outForm为certChain时必填,中间CA证书文件
     ├── -outFile                         #  输出证书文件(证书或证书链),可选项,如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.

  • 生成profile调试/发布证书

generate-profile-cert : 
     ├── -keyAlias                        # 密钥别名,必填项
     ├── -keyPwd                          # 密钥口令,可选项
     ├── -issuer                          # 颁发者的主题,必填项
     ├── -issuerKeyAlias                  # 颁发者的密钥别名,必填项
     ├── -issuerKeyPwd                    # 颁发者的密钥口令,可选项
     ├── -subject                         # 证书主题,必填项
     ├── -validity                        # 证书有效期,可选项,默认为3650天
     ├── -signAlg                         # 签名算法,必填项,包括SHA256withECDSA / SHA384withECDSA;
     ├── -keystoreFile                    # 密钥库文件,必填项,JKS或P12格式
     ├── -keystorePwd                     # 密钥库口令,可选项
     ├── -issuerKeystoreFile              # 签发者密钥库文件,可选项,JKS或P12格式
     ├── -issuerKeystorePwd               # 签发者密钥库口令,可选项
     ├── -outForm                         # 输出证书文件的格式,包括 cert / certChain,可选项,默认为certChain
     ├── -rootCaCertFile                  #  outForm为certChain时必填,根CA证书文件
     ├── -subCaCertFile                   #  outForm为certChain时必填,中间CA证书文件
     ├── -outFile                         #  输出证书文件(证书或证书链),可选项,如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.

  • 通用证书生成,可以生成自定义证书

generate-cert : 
      ├── -keyAlias                          # 密钥别名,必填项
      ├── -keyPwd                            # 密钥口令,可选项
      ├── -issuer                            # 颁发者的主题,必填项
      ├── -issuerKeyAlias                    # 颁发者的密钥别名,必填项
      ├── -issuerKeyPwd                      # 颁发者的密钥口令,可选项
      ├── -subject                           # 证书主题,必填项
      ├── -validity                          # 证书有效期,可选项,默认为1095天
      ├── -keyUsage                          # 密钥用法,必选项,包括digitalSignature, nonRepudiation, keyEncipherment,
      ├                                        dataEncipherment, keyAgreement, certificateSignature, crlSignature,
      ├                                        encipherOnly和decipherOnly,如果证书包括多个密钥用法,用逗号分隔
      ├── -keyUsageCritical                  # keyUsage是否为关键项,可选项,默认为是
      ├── -extKeyUsage                       # 扩展密钥用法,可选项,包括clientAuthentication,serverAuthentication,
      ├                                        codeSignature,emailProtection,smartCardLogin,timestamp,ocspSignature
      ├── -extKeyUsageCritical               # extKeyUsage是否为关键项,可选项,默认为否
      ├── -signAlg                           # 签名算法,必填项,包括SHA256withRSA/SHA384withRSA/SHA256withECDSA/SHA384withECDSA 
      ├── -basicConstraints                  # 是否包含basicConstraints,可选项,默认为否
      ├── -basicConstraintsCritical          # basicConstraints是否包含为关键项,可选项,默认为否
      ├── -basicConstraintsCa                # 是否为CA,可选项,默认为否
      ├── -basicConstraintsPathLen           # 路径长度,可选项,默认为0
      ├── -issuerKeystoreFile                # 签发者密钥库文件,可选项,JKS或P12格式
      ├── -issuerKeystorePwd                 # 签发者密钥库口令,可选项
      ├── -keystoreFile                      # 密钥库文件,必填项,JKS或P12格式
      ├── -keystorePwd                       # 密钥库口令,可选项
      ├── -outFile                           # 输出证书文件,可选项,如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.

  • ProvisionProfile文件签名

sign-profile : 
      ├── -mode            # 签名模式,必填项,包括localSign,remoteSign
      ├── -keyAlias        # 密钥别名,必填项
      ├── -keyPwd          # 密钥口令,可选项
      ├── -profileCertFile # Profile签名证书(证书链,顺序为最终实体证书-中间CA证书-根证书),必填项
      ├── -inFile          # 输入的原始Provision Profile文件,必填项
      ├── -signAlg         # 签名算法,必填项,包括SHA256withECDSA / SHA384withECDSA
      ├── -keystoreFile    # 密钥库文件,localSign模式时为必填项,JKS或P12格式
      ├── -keystorePwd     # 密钥库口令,可选项
      ├── -outFile         # 输出签名后的Provision Profile文件,p7b格式,必填项
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

  • ProvisionProfile文件验签

verify-profile : 
       ├── -inFile       # 已签名的Provision Profile文件,p7b格式,必填项
       ├── -outFile       # 验证结果文件(包含验证结果和profile内容),json格式,可选项;如果不填,则直接输出到控制台
  • 1.
  • 2.
  • 3.

  • hap应用包签名

sign-app : 
      ├── -mode          # 签名模式,必填项,包括localSign,remoteSign,remoteResign
      ├── -keyAlias      # 密钥别名,必填项
      ├── -keyPwd        # 密钥口令,可选项
      ├── -appCertFile   # 应用签名证书文件(证书链,顺序为最终实体证书-中间CA证书-根证书),必填项
      ├── -profileFile   # 签名后的Provision Profile文件名,profileSigned为1时为p7b格式,profileSigned为0时为json格式,必填项
      ├── -profileSigned # 指示profile文件是否带有签名,1表示有签名,0表示没有签名,默认为1。可选项
      ├── -inForm        # 输入的原始文件的格式,zip格式或bin格式,默认zip格式,可选项
      ├── -inFile        # 输入的原始APP包文件,zip格式或bin格式,必填项
      ├── -signAlg       # 签名算法,必填项,包括SHA256withECDSA / SHA384withECDSA
      ├── -keystoreFile  # 密钥库文件,localSign模式时为必填项,JKS或P12格式
      ├── -keystorePwd   # 密钥库口令,可选项
      ├── -outFile       # 输出签名后的包文件,必填项
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.

  • hap应用包文件验签

verify-app : 
     ├── -inFile          # 已签名的应用包文件,zip格式或bin格式,必填项
     ├── -outCertChain    # 签名的证书链文件,必填项
     ├── -outProfile      # 应用包中的profile文件,必填项
  • 1.
  • 2.
  • 3.
  • 4.

生成签名文件

  1. 生成密钥对,keystorePwd为密钥库口令。

java -jar hap-sign-tool.jar generate-keypair -keyAlias "OpenHarmony-Tizi" -keyAlg "ECC" -keySize "NIST-P-256" -keystoreFile "OpenHarmony-Tizi.p12" -keyPwd "Pwd-Tizi-1" -keystorePwd "Pwd-Tizi-2"

  1. ​生成RootCA证书,subject为RootCA的证书主题,用于配置trusted_root_ca.json。

java -jar hap-sign-tool.jar generate-ca -keyAlias "OpenHarmony-Tizi-rootCA" -signAlg "SHA256withECDSA" -keyAlg "ECC" -keySize "NIST-P-256" -subject "C=CN, O=OpenHarmony-Tizi-rootCA, OU=OpenHarmony-Tizi-rootCA Community, CN=OpenHarmony Application Root CA" -keystoreFile "OpenHarmony-Tizi.p12" -outFile "OpenHarmony-Tizi-rootCA.cer" -keyPwd "Pwd-Tizi-3" -keystorePwd "Pwd-Tizi-2" -validity "365"

  1. 生成SubCA证书。

java -jar hap-sign-tool.jar generate-ca -keyAlias "OpenHarmony-Tizi-subCA" -signAlg "SHA256withECDSA" -keyAlg "ECC" -keySize "NIST-P-256" -subject "C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application Sub CA" -keystoreFile "OpenHarmony-Tizi.p12" -outFile "OpenHarmony-Tizi-subCA.cer" -keyPwd "Pwd-Tizi-4" -keystorePwd "Pwd-Tizi-2" -issuer "C=CN, O=OpenHarmony-Tizi-rootCA, OU=OpenHarmony-Tizi-rootCA Community, CN=OpenHarmony Application Root CA" -issuerKeyAlias "OpenHarmony-Tizi-rootCA" -issuerKeyPwd "Pwd-Tizi-3" -validity "365"

  1. 生成应用调试/发布证书,subject用于配置trusted_apps_sources.json中的app-signing-cert项。

java -jar hap-sign-tool.jar generate-app-cert -keyAlias "OpenHarmony-Tizi-subCA" -signAlg "SHA256withECDSA" -subject "C=CN, O=OpenHarmony-Tizi-app-cert, OU=OpenHarmony-Tizi-app-cert Community, CN=OpenHarmony Application Release" -keystoreFile "OpenHarmony-Tizi.p12" -subCaCertFile "OpenHarmony-Tizi-subCA.cer" -rootCaCertFile "OpenHarmony-Tizi-rootCA.cer" -outForm "certChain" -outFile "OpenHarmony-Tizi-app-cert.pem" -keyPwd "Pwd-Tizi-4" -keystorePwd "Pwd-Tizi-2" -issuer "C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application Sub CA" -issuerKeyAlias "OpenHarmony-Tizi-subCA" -issuerKeyPwd "Pwd-Tizi-4" -validity "365"

  1. 生成ProfileCA证书,subject用于配置trusted_apps_sources.json中的issuer-ca项。

java -jar hap-sign-tool.jar generate-ca -keyAlias "OpenHarmony-Tizi-profileCA" -signAlg "SHA256withECDSA" -keyAlg "ECC" -keySize "NIST-P-256" -subject "C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application CA" -keystoreFile "OpenHarmony-Tizi.p12" -outFile "OpenHarmony-Tizi-profileCA.cer" -keyPwd "Pwd-Tizi-5" -keystorePwd "Pwd-Tizi-2" -issuer "C=CN, O=OpenHarmony-Tizi-rootCA, OU=OpenHarmony-Tizi-rootCA Community, CN=OpenHarmony Application Root CA" -issuerKeyAlias "OpenHarmony-Tizi-rootCA" -issuerKeyPwd "Pwd-Tizi-3" -validity "365"

  1. 生成应用Release版profile调试/发布证书,subject用于配置trusted_apps_sources.json中的profile-signing-certificate项。

java -jar hap-sign-tool.jar generate-profile-cert -keyAlias "OpenHarmony-Tizi-profileCA" -signAlg "SHA256withECDSA" -subject "C=CN, O=OpenHarmony-Tizi-profile-cert, OU=OpenHarmony-Tizi-profile-cert Community, CN=OpenHarmony Application Profile Release" -keystoreFile "OpenHarmony-Tizi.p12" -subCaCertFile "OpenHarmony-Tizi-profileCA.cer" -rootCaCertFile "OpenHarmony-Tizi-rootCA.cer" -outForm "certChain" -outFile "OpenHarmony-Tizi-profile-cert-release.pem" -keyPwd "Pwd-Tizi-5" -keystorePwd "Pwd-Tizi-2" -issuer "C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application CA" -issuerKeyAlias "OpenHarmony-Tizi-profileCA" -issuerKeyPwd "Pwd-Tizi-5" -validity "365"

  1. 生成应用Debug版profile调试/发布证书,subject用于配置trusted_apps_sources.json中的profile-debug-signing-certificate项。

java -jar hap-sign-tool.jar generate-profile-cert -keyAlias "OpenHarmony-Tizi-profileCA" -signAlg "SHA256withECDSA" -subject "C=CN, O=OpenHarmony-Tizi-profile-cert, OU=OpenHarmony-Tizi-profile-cert Community, CN=OpenHarmony Application Profile Debug" -keystoreFile "OpenHarmony-Tizi.p12" -subCaCertFile "OpenHarmony-Tizi-profileCA.cer" -rootCaCertFile "OpenHarmony-Tizi-rootCA.cer" -outForm "certChain" -outFile "OpenHarmony-Tizi-profile-cert-debug.pem" -keyPwd "Pwd-Tizi-5" -keystorePwd "Pwd-Tizi-2" -issuer "C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application CA" -issuerKeyAlias "OpenHarmony-Tizi-profileCA" -issuerKeyPwd "Pwd-Tizi-5" -validity "365"

  1. 将OpenHarmony-Tizi-app-cert.pem中第一部分的密钥,把回车转换为\n字符,放入UnsgnedReleasedProfileTemplate.json的distribution-certificate中。例如:

转换前:

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.

转换后:

-----BEGIN CERTIFICATE-----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\n-----END CERTIFICATE-----\n
  • 1.
  1. ProvisionProfile文件签名

java -jar hap-sign-tool.jar sign-profile -keyAlias "OpenHarmony-Tizi-profileCA" -signAlg "SHA256withECDSA" -mode "localSign" -profileCertFile "OpenHarmony-Tizi-profile-cert-release.pem" -inFile "UnsgnedReleasedProfileTemplate.json" -keystoreFile "OpenHarmony-Tizi.p12" -outFile "com.openharmony.signtest.p7b" -keyPwd "Pwd-Tizi-5" -keystorePwd "Pwd-Tizi-2"

  1. hap应用包签名

java -jar hap-sign-tool.jar sign-app -keyAlias "OpenHarmony-Tizi-subCA" -signAlg "SHA256withECDSA" -mode "localSign" -appCertFile "OpenHarmony-Tizi-app-cert.pem" -profileFile "com.openharmony.signtest.p7b" -inFile "entry-default-unsigned.hap" -keystoreFile "OpenHarmony-Tizi.p12" -outFile "entry-default-signed.hap" -keyPwd "Pwd-Tizi-4" -keystorePwd "Pwd-Tizi-2"

配置系统证书

  1. 系统中证书配置文件位于/etc/security/中

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

  1. 配置 trusted_apps_sources.json 文件。注意“,”符号后面需要加入空格才可正常匹配。

{
    "name":"OpenHarmony-Tizi apps",
    "app-signing-cert":"C=CN, O=OpenHarmony-Tizi-app-cert, OU=OpenHarmony-Tizi-app-cert Community, CN=OpenHarmony Application Release",
    "profile-signing-certificate":"C=CN, O=OpenHarmony-Tizi-profile-cert, OU=OpenHarmony-Tizi-profile-cert Community, CN=OpenHarmony Application Profile Release",
    "profile-debug-signing-certificate":"C=CN, O=OpenHarmony-Tizi-profile-cert, OU=OpenHarmony-Tizi-profile-cert Community, CN=OpenHarmony Application Profile Debug",
    "issuer-ca":"C=CN, O=OpenHarmony-Tizi-subCA, OU=OpenHarmony-Tizi-subCA Community, CN=OpenHarmony Application CA",
    "max-certs-path":3,
    "critialcal-cert-extension":["keyusage"]
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  1. 配置 trusted_root_ca.json 文件,将 OpenHarmony-Tizi-rootCA.cer 密钥信息处理后加入到文件中。

"C=CN, O=OpenHarmony-Tizi-rootCA, OU=OpenHarmony-Tizi-rootCA Community, CN=OpenHarmony Application Root CA":"-----BEGIN CERTIFICATE-----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\n/NOyuKLetw==\n-----END CERTIFICATE-----\n"
  • 1.
  1. 将文件推送回系统中并重启。

hdc shell "mount -o remount,rw /"
hdc file send D:\trusted_apps_sources.json /etc/security/trusted_apps_sources.json
hdc file send D:\trusted_root_ca.json /etc/security/trusted_root_ca.json
hdc shell reboot
  • 1.
  • 2.
  • 3.
  • 4.

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

  1. 安装签名应用。

OpenHarmony应用签名 - 厂商私有签名-鸿蒙开发者社区

参考文档

OpenHarmony Gitee Docs - Hap包签名工具概述

OpenHarmony Gitee Docs - Hap包签名工具指导

OpenHarmony Gitee Docs - HarmonyAppProvision配置文件说明


©著作权归作者所有,如需转载,请注明出处,否则将追究法律责任
分类
OpenHarmony
HarmonyOS
卡片开发
三方库
IDE
其他
Java
其他
标签
OpenHarmony
签名
安全
已于2023-5-21 23:44:56修改
9
收藏 6
回复
举报
9
15
6
15条回复
按时间正序
/
按时间倒序
红叶亦知秋
红叶亦知秋

很完整的实践流程

回复
2023-5-22 10:30:06
martin_Hu
martin_Hu

私有签名配置如何导入IDE呢,我进行IDE手动配置时Certpath file(*.cer)不知道配置哪一个,导致hap编译失败,出现诸如这类错误:

 Details: Profile cert 'C:/Users/xxx/Desktop/demo/OpenHarmony-Tizi.cer' must a cert chain

        Detail: Please check the message from tools.


回复
2023-6-16 14:31:59
TiZizzz
TiZizzz 回复了 martin_Hu
私有签名配置如何导入IDE呢,我进行IDE手动配置时Certpath file(*.cer)不知道配置哪一个,导致hap编译失败,出现诸如这类错误: Details: Profile cert 'C:/Users/xxx/Desktop/demo/OpenHarmony-Tizi.cer' must a cert chain Detail: Please check the message from tools.

可以参考​​https://ost.51cto.com/posts/21466​​这篇文章,CER文件实际就是PEM文件,可以直接把PEM的后缀改为CER使用。

回复
2023-6-21 17:44:39
martin_Hu
martin_Hu 回复了 TiZizzz
可以参考​​https://ost.51cto.com/posts/21466​​这篇文章,CER文件实际就是PEM文件,可以直接把PEM的后缀改为CER使用。

通过java -jar hap-sign-tool.jar sign-app命令签名后的hap可以正常安装和运行。

按照上面说的直接修改PEM后缀为CER或者

运行hap-sign-tool.jar generate-app-cert命令生成时将后缀改为CER,IDE编译还是报错:

> hvigor ERROR: Failed :entry:default@SignHap...  

> hvigor ERROR: Tools execution failed.

06-25 15:53:41 ERROR - hap-sign-tool: error: {errorcode:0,message:generate SignerBlock failed}

com.ohos.hapsigntool.hap.exception.SignatureException: {errorcode:0,message:generate SignerBlock failed}

       at com.ohos.hapsigntool.hap.sign.SignHap.generateHapSignatureSchemeBlock(SignHap.java:304) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.SignHap.generateHapSigningBlock(SignHap.java:202) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.SignHap.getHapSigningBlock(SignHap.java:190) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.SignHap.sign(SignHap.java:350) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.provider.SignProvider.sign(SignProvider.java:302) [hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.api.SignToolServiceImpl.signHap(SignToolServiceImpl.java:319) [hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.HapSignTool.runSignApp(HapSignTool.java:285) [hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.HapSignTool.dispatchParams(HapSignTool.java:152) [hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.HapSignTool.processCmd(HapSignTool.java:109) [hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.HapSignTool.main(HapSignTool.java:79) [hap-sign-tool.jar:?]

Caused by: com.ohos.hapsigntool.hap.exception.SignatureException: {errorcode:0,message:Signature did not verify}

       at com.ohos.hapsigntool.hap.sign.BcPkcs7Generator.verifySignatureFromServer(BcPkcs7Generator.java:252) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.BcPkcs7Generator.getSignerInfo(BcPkcs7Generator.java:164) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.BcPkcs7Generator.generateSignedData(BcPkcs7Generator.java:91) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.SignHap.generateSignerBlock(SignHap.java:331) ~[hap-sign-tool.jar:?]

       at com.ohos.hapsigntool.hap.sign.SignHap.generateHapSignatureSchemeBlock(SignHap.java:302) ~[hap-sign-tool.jar:?]

       ... 9 more

        Detail: Please check the message from tools.

> hvigor ERROR: BUILD FAILED in 4 s 838 ms 

回复
2023-6-25 16:00:34
TiZizzz
TiZizzz 回复了 martin_Hu
通过java -jar hap-sign-tool.jar sign-app命令签名后的hap可以正常安装和运行。按照上面说的直接修改PEM后缀为CER或者 运行hap-sign-tool.jar generate-app-cert命令生成时将后缀改为CER,IDE编译还是报错:> hvigor ERROR: Failed :entry:default@SignHap... > hvigor ERROR: Tools execution failed. 06-25 15:53:41 ERROR - hap-sign-tool: error: {errorcode:0,message:generate S...

使用的PEM文件为OpenHarmony-Tizi-app-cert.pem,更改为CER。

1
回复
2023-6-26 15:48:13
martin_Hu
martin_Hu 回复了 TiZizzz
使用的PEM文件为OpenHarmony-Tizi-app-cert.pem,更改为CER。​

感谢大佬指导,keyAlias和keyPassword更正后验证OK

已于2023-6-28 15:59:42修改
回复
2023-6-28 15:59:27
一壶浊酒空对月
一壶浊酒空对月

大佬,配置系统证书这一步,我在文章最后的参考文档里没发现有提及,请问官方有指导文档么?

回复
2023-6-29 15:47:33
TiZizzz
TiZizzz 回复了 一壶浊酒空对月
大佬,配置系统证书这一步,我在文章最后的参考文档里没发现有提及,请问官方有指导文档么?

官方Docs中现在暂时没有文档进行说明。

回复
2023-6-30 11:13:37
晨崽沉着冷静
晨崽沉着冷静

大佬,本篇是演示了release版本的签名,看第7步已经生成了应用Debug版profile调试/发布证书,但是想问一下应该怎么使用呢;和使用release版的证书的区别在哪里;我通过第9步进行ProvisionProfile文件签名,生成了debug级的p7b,然后将ide里p7b文件那栏换成了生成的debug的p7b,编译成功但是install失败,报的错是"error: signature verification failed due to not trusted app source.",在这之前使用release的p7b去install应用是ok的,请问一下是什么原因导致的,是我哪里没有配置或者更改吗?


回复
2023-7-6 21:12:42
TiZizzz
TiZizzz 回复了 晨崽沉着冷静
大佬,本篇是演示了release版本的签名,看第7步已经生成了应用Debug版profile调试/发布证书,但是想问一下应该怎么使用呢;和使用release版的证书的区别在哪里;我通过第9步进行ProvisionProfile文件签名,生成了debug级的p7b,然后将ide里p7b文件那栏换成了生成的debug的p7b,编译成功但是install失败,报的错是"error: signature verification failed due to not trusted app source.",在这之前使用release的p7b去i...

检查一下是否把第7步中的,subject配置到了trusted_apps_sources.json中的profile-debug-signing-certificate项里。


回复
2023-7-7 09:56:48
晨崽沉着冷静
晨崽沉着冷静

有的,配置了

回复
2023-7-7 10:08:00
晨崽沉着冷静
晨崽沉着冷静 回复了 晨崽沉着冷静
有的,配置了

在用ide编译私有签名应用的时候,正常来说只需要一个p12,一个cer,一个release或者一个debug的p7b就可以了对吧

回复
2023-7-7 10:09:56
晨崽沉着冷静
晨崽沉着冷静

我有试过:在处理UnsgnedReleasedProfileTemplate.json文件的时候,type字段改成debug,但直接就无法生成debug.p7b了,报错:"Require cert in bundleInfo";大佬有试过使用debug等级的p7b进行签名编译安装吗?

回复
2023-7-7 10:36:02
TiZizzz
TiZizzz 回复了 晨崽沉着冷静
我有试过:在处理UnsgnedReleasedProfileTemplate.json文件的时候,type字段改成debug,但直接就无法生成debug.p7b了,报错:"Require cert in bundleInfo";大佬有试过使用debug等级的p7b进行签名编译安装吗?

Debug对应的Profile文件为​​UnsgnedDebugProfileTemplate.json​​。

回复
2023-7-7 15:51:53
wx5d0657730f849
wx5d0657730f849 回复了 TiZizzz
检查一下是否把第7步中的,subject配置到了trusted_apps_sources.json中的profile-debug-signing-certificate项里。

我也是遇到了跟您一样的轻松是一模一样的配置,但是在Openharmony4.0上是ok的,但是升级之后在Openharmony4.1上就是不行,死活都不行呢

回复
2024-5-28 20:01:56


回复
    相关推荐
    这个用户很懒,还没有个人简介
    帖子
    视频
    声望
    粉丝
    最近发布
    热门推荐
    基于OpenHarmony的自定义日历组件实现----详细的自定义日历组件-Bond! 3回复
    应用的一次开发,多端部署实例解析 0回复
    实现录制视频功能鸿蒙示例代码 0回复
    HarmonyOS Next AI开发环境搭建与工具使用 1回复
    HarmonyOS NEXT场景化示例代码(第一期)#鸿蒙示例代码# 0回复
    相关问题
    对openHarmony应用进行签名时失败了 3回答
    HarmonyOS应用签名问题 1回答
    openharmony: hilog私有日志无法输出 3回答
    基于动态配置签名的多人协同开发应用签名解决方案 1回答
    HarmonyOS 应用创建配置签名后会自己还原成自动签名 1回答
    社区精华内容

    目录