Android: obtenga una clave de una entidad de certificación como VeriSign
Hola
He escrito un programa, mi jefe me pide que firme el archivo apk sin auto-firmado, ¿cómo puedo obtener el certificado de cualquier autoridad como VeriSign?
Gracias
- Cómo volver a crear el archivo del almacén de claves si se eliminó accidentalmente
- Firmar archivo APK en Cordova v-5.0 CLI no funciona
- Apksigner no acepta la contraseña
- Problema con la firma de Android
- ¿Por qué debo firmar mi APK de aplicación antes del lanzamiento?
- no manifiesto jar no está firmado. (las firmas faltan o no se pueden analizar)
- ¿Cómo puedo saber qué keystore se utilizó para firmar una aplicación?
- Cómo firmar mi archivo de aplicación / .apk de android ya hecho
- ¿Por qué falla Adb con el error ?
No puede utilizar un certificado Verisign u otro código comercial de firma de código para firmar APKs Android para su distribución en Android Market. El Android Market requiere que la fecha de caducidad del certificado tenga un año mayor o igual a 2033, pero ningún proveedor de certificados comerciales le venderá un certificado con una fecha de caducidad que en el futuro (su negocio le obliga a volver y pagar cada Año: venderle un tipo de cert de 3-década de derrotas que). Consulte http://developer.android.com/guide/publishing/app-signing.html#releasemode para obtener información sobre la fecha.
Así que no, no se puede usar un certificado de autoridad comercial.
Actualmente, Android no admite certificados de código de la misma manera que Windows lo hace con Authenticode.
Permítanme explicar esto mejor.
En Windows, la firma con Authenticode crea una relación de confianza desde el ejecutable a su empresa. Si ejecuta Vista / Seven (8?) Las indicaciones de UAC muestran al autor del programa cuando hay un certificado válido, de lo contrario un indicador amarillo le advierte que el software no está firmado. Esto le ayuda a decidir si ejecuta o no la aplicación.
En Android, no se muestra ninguna información de autor cuando se instala un programa. Lo que importa son las claves privadas. Un APK firmado con la misma clave que una aplicación instalada:
- Seguramente viene del mismo autor
- Si el nombre del paquete coincide, puede actualizar la aplicación existente
- Si es una aplicación diferente, puede acceder a datos privados de la otra aplicación, como las contraseñas almacenadas de
Authenticator. En general, los APK del mismo proveedor (clave privada) se ejecutan bajo el mismo UID
Mi respuesta está dirigida a recordar a su jefe que en el ecosistema Android actual certificados digitales son casi inútil. No he intentado Symantec pero creo que apenas le ofrecen una herramienta de firma remota donde tienen la propiedad de las llaves privadas, usted envía un final del APK le devuelven un APK firmado. Si alguien sabe que estoy equivocado, por favor dígame.
Mi fuente es la documentación oficial de Android . El documento dice: "El certificado no necesita ser firmado por una autoridad de certificación: es perfectamente permisible, y típico , que las aplicaciones de Android utilicen certificados autofirmados". Does not mean que no significa cannot be por supuesto.
Acabo de tropezar en este sitio web ( Symantec Código de Firma para Android ), mientras que la búsqueda en el mismo tema. Resulta que Verisign ofrece una solución para firmar aplicaciones de Android, sin embargo, no es barato 🙂