Keystore e Alias - c'è un uso di più alias?
https://stackoverflow.com/questions/2667399
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Quando si esporta un'applicazione firmato Android con Eclipse, c'è uno scopo di utilizzare più alias?
Secondo il guida ufficiale circa la firma , è consigliabile firmare tutte le applicazioni con lo stesso certificato per consentono alle applicazioni di condividere i dati, il codice ed essere aggiornati in maniera modulare.
Supponendo che "chiave", e "certificato" "alias" sono essenzialmente intercambiabili, in questo contesto, c'è un motivo per cui qualcuno avrebbe voler di usare gli alias diversi per tutte le loro applicazioni? L'unico motivo che mi viene in mente è che aggiunge più sicurezza per le applicazioni, nel senso che un compromesso chiave / password non comprometta tutto. Ci sono altri motivi?
Inoltre, è la chiave generata dipende dal nome dell'alias? In altre parole, se si modifica il nome dell'alias, ma non la password, sarebbe il certificato generato essere diverso?
Soluzione
mi corregga se sbaglio, ma se vedrete questa risposta a una domanda simile si vede che il certificato in effetti dipendono dalla particolare "alias" (all'interno del tuo keystore) che si sceglie di firmare con.
Leggi la risposta con attenzione e si vede che la "chiavi" contiene "Alias" s (che in realtà sono private + coppie di chiavi pubbliche). Quando ti iscrivi il tuo apk è la "chiave pubblica", che è il vero e proprio certificato di essere incorporato.
Quindi, quando l'aggiornamento la vostra applicazione è necessario utilizzare sempre lo stesso "alias", non solo lo stesso "chiavi". Per quanto riguarda il motivo per cui gli sviluppatori avrebbero "alias" multiple s nella loro chiavi, sono incerti del beneficio diverso da quello che e hanno detto gli altri.
E l'unico modo è possibile firmare con un altro alias sarebbe quello di clonare quello precedente come risposta suggerisce anche.
Ho anche confermato che la firma di un APK con alias diverso di (dalla stessa Keystore) genererà diversa APK la firma firme che dovrebbe essere la prova che diversi 'alias' s = certificato diverso. Come ottenere la vostra firma in ordine a (<- nota: I non so cosa il metodo Trace.i cui si riferiscono è, invece ho usato Log.i)
Altri suggerimenti
Do essere consapevoli del fatto che con la firma le applicazioni con chiavi diverse che si sta sacrificando "permessi basati sulle firme" l'interoperabilità tra le applicazioni.
Android - una firma Applicazioni - Firma Strategie
Il sistema Android fornisce i permessi basati sulle firme di applicazione, in modo che un'applicazione può esporre la funzionalità di un'altra applicazione che è firmato con un certificato specificato. Con la firma multipla applicazioni con lo stesso certificato e l'utilizzo basata sulle firme autorizzazioni controlli, le applicazioni possono condividere codice e dati in un modo sicuro.
I stava facendo alcune prove, e anche se sembra avere importanza quale tasto si utilizza nel keystore, cambiando l'alias sulla chiave e il nome del file di chiavi non sembra davvero un problema per il portatile. Se siete curiosi, ho cambiato l'alias con keytool-IUI che ho avuto da qui: http: //code.google.com/p/keytool-iui/
Per rispondere alla OP, direi che è utile se si lavora in una grande azienda con più divisioni scrivere le proprie applicazioni. Così Widget di Wilson potrebbe avere un archivio di chiavi di wilsonwidgets.keystore, e ci potrebbe essere un reparto interno con una chiave "widgetmakers", e un reparto con una chiave "widgetdelivery", e un altro reparto con una chiave "hrdepartment". Ogni reparto ha potuto evitare che l'altro reparto di aggiornare la loro app, ma l'azienda stessa ha tutte le chiavi memorizzate in un archivio di chiavi che può essere eseguito il backup in un unico luogo.
Personalmente, ho firmare ogni applicazione con un diverso archivio chiavi li tutti nella stessa chiavi. Lo faccio così se Google decide di acquistare una delle mie applicazioni da me posso rompere quella chiave e dare a loro, senza dover vendere loro l'intero lotto o le chiavi rigenerati per le altre applicazioni. Realisticamente ... Sto solo sprecare tempo e fatica ... sospirare
