文章目录
前言
在鸿蒙应用生态中,应用签名是保障应用安全性的核心环节。签名不仅验证应用来源的可靠性,还确保应用在安装和运行过程中的完整性。虽然开发者通常使用DevEco Studio内置工具进行手动签名,但在自动化构建流程或需要深度定制签名算法时,掌握命令行签名工具至关重要。本文将深入解析鸿蒙的应用包签名工具 和二进制签名工具,涵盖工具架构、编译方法、使用技巧及接口说明,助你实现高效自动化签名与安全加固。
应用包签名工具
简介
为保障OpenHarmony应用和二进制工具(如lldb-server)的完整性和来源可信,所有应用必须经过签名才能安装到真机设备或发布至应用市场。本工具提供密钥生成、证书管理、Profile文件签名、应用包签名等全链路能力,支持强制代码签名机制,防止恶意代码篡改或未授权执行。
核心功能:
- 支持HAP/HSP/HQF格式的应用包签名
- 提供本地签名(localSign)和远程签名(remoteSign)双模式
- 默认启用代码签名,可通过
-signCode 0关闭
目录结构
bash
developtools_hapsigner
├── autosign # 一键签名脚本(Python)
├── dist # SDK预置文件
├── hapsigntool # Java版签名工具
│ ├── hap_sign_tool # 主程序入口
│ └── hap_sign_tool_lib # 签名核心逻辑库
├── hapsigntool_cpp # C++版签名工具
│ ├── api # 签名接口
│ ├── codesigning # 代码签名模块
│ └── ... # 其他核心模块
└── tools # 自动化测试脚本约束条件
- Java版:需Java 8+环境,Python脚本需3.5+
- C++版:需OpenHarmony标准系统环境,C++17+标准
- 密钥算法:C++版仅支持ECC,Java版支持ECC/RSA
- 密钥库格式:C++版仅支持.p12,Java版支持.p12/.jks
编译构建
Java版:
bash
cd developtools_hapsigner/hapsigntool
mvn package # 输出路径: ./hap_sign_tool/targetC++版:
bash
# 编译Release版(默认)
./build.sh --product-name ohos-sdk
# 编译Debug版(添加调试日志)
在hapsigntool_cpp/BUILD.gn中添加 defines = [ "SIGNATURE_LOG_DEBUG" ]使用说明
1. 签名流程关键文件
bash
OpenHarmony.p12 # 签名密钥库
OpenHarmonyProfileRelease.pem # Profile发布证书
hap-sign-tool.jar / hap-sign-tool # 签名工具(Java/C++)2. 命令行签名示例
签名Profile文件:
bash
# Java版
java -jar hap-sign-tool.jar sign-profile -keyAlias "key1" -signAlg "SHA256withECDSA" -inFile "profile.json" -outFile "signed.p7b"
# C++版
hap-sign-tool sign-profile -keyAlias "key1" -signAlg "SHA256withECDSA" -inFile "profile.json" -outFile "signed.p7b"
签名应用包:
bash
# Java版
java -jar hap-sign-tool.jar sign-app -keyAlias "key1" -appCertFile "app.pem" -inFile "app.hap" -outFile "signed.hap"
# C++版
hap-sign-tool sign-app -keyAlias "key1" -appCertFile "app.pem" -inFile "app.hap" -outFile "signed.hap"
3. 一键签名脚本
bash
autosign/
├── create_root.bat # 生成根证书
├── sign_hap.sh # 签名HAP包(Linux)
└── sign_elf.bat # 签名二进制文件(Windows)使用步骤:
- 编辑
signHap.config配置密钥口令 - 运行
create_appcert_sign_profile.sh生成证书 - 运行
sign_hap.sh对应用包签名
接口说明
| 功能 | 核心参数 | 说明 |
|---|---|---|
generate-keypair |
-keyAlg ECC -keySize NIST-P-256 |
生成ECC密钥对 |
sign-app |
-signCode 0 |
关闭代码签名 |
verify-app |
-outCertChain cert_chain.pem |
导出签名证书链 |
generate-ca |
-basicConstraintsCa true |
生成CA证书 |
完整接口清单详见原文
二进制签名工具
简介
专为OpenHarmony二进制文件(ELF格式的可执行文件/SO库)设计,提供运行时合法性校验与完整性保护,防止恶意代码执行。
目录结构
bash
developtools_hapsigner
└── binary_sign_tool # 二进制签名工具
├── api # 签名接口
├── codesigning # 代码签名引擎
└── ... # 核心功能模块约束
- 仅支持ECC算法和.p12密钥库
- 支持交互式口令输入(30秒超时)
编译构建
同应用包签名工具的C++版编译流程,输出路径:out/sdk/packages/ohos-sdk
使用说明
签名ELF文件:
bash
# 证书签名模式
binary-sign-tool sign -keyAlias "key1" -appCertFile "app.pem" -inFile "app.elf" -outFile "signed.elf"
# 本机自签名模式
binary-sign-tool sign -inFile "app.elf" -outFile "signed.elf" -selfSign 1查看签名信息:
bash
binary-sign-tool display-sign -inFile "signed.elf"总结
鸿蒙签名机制是应用安全的第一道防线:
- 双工具覆盖:应用包签名工具支持HAP/HSP格式,二进制签名工具专注ELF文件,满足全场景需求。
- 自动化能力:通过命令行工具和一键脚本,无缝集成CI/CD流水线,实现无人值守签名。
- 安全可定制:支持代码签名开关、多算法选择(ECC/RSA)、本地/远程签名模式。
- 开放源码:工具代码完全开放,便于二次开发或深度定制签名策略。
掌握签名工具的使用,不仅能提升发布效率,更能深入理解鸿蒙的安全设计哲学。建议开发者结合自动化脚本,将签名流程嵌入构建系统,为应用筑牢安全基石。
相关资源