Android 系统要求所有的应用程序必须通过证书进行数字签名,该证书的私钥由应用程序的开发者持有。Android系统将证书当做识别应用程序作者并在应用程序之间建立信任关系的一种方式。该证书不是用来控制用户安装应用的权限。此外该证书也不需要由证书授权结构进行签名:对Android应用程序使用自签名证书是完全允许的,并且也是十分典型的。
对Android应用进行签名的过程中,有以下几个关键点:
- 所有应用必须签名,否则将不允许安装该应用
- 为了测试和调试,build工具使用AndroidSDK的build工具创建的特殊的Debug Key来进行签名
- 可以使用自签名的证书来对应用进行签名,而不需要对证书授权
- 系统只有在安装应用时才验证签名者的证书的过期时间,在安装后,证书过期了,该应用依旧可以正常工作。
- 可以通过标准的密钥生成工具和签名工具(Keytool and Jarsigner)