针对应用/服务的签名,DevEco Studio为开发者提供了自动签名方案,帮助开发者高效进行调试。也可选择手动方式对应用/服务进行签名,如果使用了需要ACL的权限,需采用手动方式进行签名。
自动签名
说明
使用自动签名前,请确保本地系统时间与北京时间(UTC/GMT +8.00)保持一致。如果不一致,将导致签名失败。
1、连接真机设备,确保DevEco Studio与真机设备已连接,真机连接成功后如下图所示:
说明
如果同时连接多个设备,则使用自动化签名时,会同时将这多个设备的信息写到证书文件中。
2、进入 File > Project Structure > Project > Signing Configs界面,勾选”Automatically generate signature“(如果是API 8和9工程,需同时勾选”Support HarmonyOS“),即可完成签名。如果未登录,请先单击Sign In进行登录,然后自动完成签名
签名完成后,如下图所示:
手动签名
HarmonyOS应用/服务通过数字证书(.cer文件)和 Profile文件(.p7b文件)来保证应用/服务的完整性。在申请数字证书和Profile文件前,首先要通过DevEco Studio或命令行工具来生成密钥(存储在格式为.p12的密钥库文件中)和证书请求文件(.csr文件)。然后,申请调试数字证书和调试Profile文件。最后,将密钥(.p12)文件、数字证书(.cer)文件和Profile(.p7b)文件配置到工程中。
基本概念
- 密钥:格式为.p12,包含非对称加密中使用的公钥和私钥,存储在密钥库文件中,公钥和私钥对用于数字签名和验证。
- 证书请求文件:格式为.csr,全称为Certificate Signing Request,包含密钥中对中的公钥和公共名称、组织名称、组织单位等信息,用于向AppGallery Connect申请数字证书
- 数字证书:格式为.cer,由华为AppGallery Connect颁发
- Profile文件:格式为.p7b,包含HarmonyOS 应用/服务的包名、数字证书信息、描述应用/服务允许申请的证书权限列表,以及允许应用/服务调试的设备列表(如果应用/服务类型为Release类型,则设备列表为空)等内容,每个应用/服务包中必须包含一个Profile文件
生成密钥和证书请求文件
使用DevEco Studio生成密钥和证书请求文件
1、在主菜单栏单击Build > Generate Key and CSR。
说明
如果本地已有对应的密钥,无需新生成密钥,可以在GenerateKey界面中单击下方的Skip跳过密钥生成过程,直接使用已有密钥生成证书请求文件。
2、在Key Store File中,可以单击 Choose Existing选择已有的密钥文件(存储有密钥的.p12文件) ;如果没有密钥库文件,单击New 进行创建。下面以新创建密钥库文件为例进行说明。
3、在Create Key Store窗口中 ,填写密钥库信息后,单击OK。
- Key Store File:设置密钥库文件存储路径,并填写p12文件名。
- Password:设置密钥库密码,必须由大写字母、小写字母、数字和特殊符号中的两种以上字符的组合,长度至少为8位。请记住该密码,后续签名配置需要使用
- Confirm Password:再次输入密钥库密码
4、在Generate Key and CSR 界面中,继续填写密钥信息后,单击Next。
- Alias:密钥的别名信息,用于标识密钥名称。请记住该别名,后续签名配置需要使用。
- Password:密钥对应的密码,与密钥库密码保持一致,无需手动输入。
- Validity:证书有效期,建议设置为25年及以上,覆盖应用/服务的完整生命周期
- Certificate:输入证书基本信息,如组织、城市或地区、国家码等。
5、在Generate Key and CSR界面,设置CSR文件存储路径和CSR文件名
6、单击OK,创建CSR文件成功,可以在存储路径下获取生成的密钥库文件(.p12)和证书请求文件(.csr)。
使用命令行工具生成证书请求文件
使用Open JDK携带的Keytool工具生成证书请求文件。
1、使用管理员身份运行命令行工具
2、切换到keytool工具所在路径,路径为DevEco Studio安装目录下的jbr\bin目录。
3、执行如下命令,生成公钥文件、例如,生成的密钥库名称为idedemokey.p12,存储到D盘根目录下。
keytool -genkeypair -alias "ide_demo_app" -keyalg EC -sigalg SHA256withECDSA -dname "C=CN,O=HUAWEI,OU=HUAWEI IDE,CN=ide_demo_app" -keystore d:\\idedemokey.p12 -storetype pkcs12 -validity 9125 -storepass 123456Abc -keypass 123456Abc
生成公私钥文件的参数说明如下:
说明
请记录下alias、storepass和keypass的值,在后续手动配置签名信息操作会使用到
- alias:密钥的别名信息,用于标识密钥名称
- sigalg:签名算法,固定为SHA256withECDSA
- dname:按照操作界面提示进行输入。
- C:国家/地区代码,如CN。
- O:组织名称,如HUAWEI。
- OU:组织单位名称,如HUAWEI IDE。
- CN:名字与姓氏,建议与别名一致。
- validity:证书有效期,建议设置为9125(25年)。
- storepass:设置密钥库密码,必须由大写字母、小写字母、数字和特殊符号中的两种或两种以上字符组合,长度至少为8位。请记住该密码,后续签名配置需要使用。
- keypass:设置密钥的Miami,请与storepass保持一致
4、执行如下命令,执行后需要输入storepass密码,生成证书请求文件,后缀格式为.csr。
keytool -certreq -alias "ide_demo_app" -keystore d:\\idedemokey.p12 -storetype pkcs12 -file d:\\idedemokey.csr
生成证书请求文件的参数说明如下:
- alias:与上一步骤中输入的alias保持一致。
- file:生成的证书请求文件名称,后缀为.csr。
申请调试证书和调试Profile文件
通过生成的证书请求文件,向AppGallery Connect 申请调试证书和Profile文件,操作如下:
- 创建HarmonyOS应用/服务:在AppGallery Connect项目中,创建一个HarmonyOS 应用/服务,用于调试证书和Profile文件申请,具体请参考创建HarmonyOS应用。
- 申请调试证书和Profile文件:在AppGallery Connect中申请、下载调试证书和Profile文件,具体请参考申请调试证书和Profile文件。
手动配置签名信息
在DevEco Studio中配置密钥(.p12)文件、申请的调试证书(.cer)文件和调试Profile(.p7b)文件。
在File > Project Structure > Project > Signing Configs窗口中,去勾选”Automatically generate signature“(API 8和9工程请勾选”support HarmonyOS“),然后配置工程的签名信息。
- Store File:选择密钥库文件,文件后缀为.p12,该文件为生成密钥和证书请求文件中生成的.p12文件。
- Store Password:输入密钥库密码,该密码与生成密钥和证书请求文件中填写的密钥库密码保持一致
- Key Alias:输入密钥的别名信息,与生成密钥和证书请求文件中填写的别名保持一致
- Key Password:输入密钥的密码,与生成密钥和证书请求文件中填写的Store Password保持一致
- Sign Alg:签名算法,固定为SHA256withECDSA。
- Profile File:选择申请调试证书和调试Profile文件中生成的Profile文件,文件后缀为.p7b
- CertPath File:选择申请调试证书和调试Profile文件中生成的数字证书文件,文件后缀为.cer。