Android 升级签名算法从SHA1withRSA 升级到SHA256withRSA

一背景

想到要修改这个问题是因为收到下面整改通知要求我们更新签名文件的签名算法，看到这个问题都懵了呀虽然打包天天用签名文件但是从来没关注过他呀

开发者自查：不要使用已经过时或不安全的弱算法，确保签名证书使用了更强的签名算法，如 SHA-2（其中包括 SHA-256 和 SHA-512）。

然后就想着查看下签名信息：

首先查看签名信息有三种方法，

第一种使用JDK的keytool -printcert -jarfile apk

第二种使用Android sdk build-tool 下的 apksigner 的apksigner verify -v --print-cert apk

第三种使用jarsigner 暂时不考虑这种。

先用keytool -printcert -jarfile apk查看，还真是

再用apksigner 的apksigner verify -v --print-cert apk查看自己的apk

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: *****
Signer #1 certificate SHA-256 digest: 123
Signer #1 certificate SHA-1 digest: 456
Signer #1 certificate MD5 digest: 789
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 1024
Signer #1 public key SHA-256 digest: 111
Signer #1 public key SHA-1 digest: 222
Signer #1 public key MD5 digest: 333

这个没有显示具体的签名算法名称，只显示了密钥算法的位数1024和类型RSA

二：怎么办

咋办呢？第一反应是要新建一个签名文件但是如果新建文件那存量的APP 就没办法升级了呀！很严重~

so 开始百度

查到Android9.0以后可以采用密钥轮替的方法更新签名信息，具体可以参考

Android使用apksigner轮转签名的小整理 - 简书

好的那测试就开始啦

实战

1.具体的位置和准备工作

需要两个签名文件一个旧的一个新的一个apk

1：密钥轮替需要两个签名文件为了保证不影响升级，那么先创建一个新的签名文件

keytool -genkey -v -sigalg SHA256withRSA -keysize 2048 -alias your_alias -keystore your_keystore_name -validity 36500

然后开始准备轮替：

2：工具的存放位置（apksigner在哪里）：
apksigner是Google官方提供的针对Android apk签名及验证的专用工具,
位于Android SDK/build-tools/SDK版本/apksigner.bat

我们进选一个大于28的版本进去就可以了

D:\Sdk\build-tools\29.0.0-rc2>apksigner rotate --out /path --old-signer   --ks release.jks --new-signer --ks release2.jks
Keystore password for old signer:
Keystore password for new signer:
D:\Sdk\build-tools\29.0.0-rc2>

输入release.jks的密码，输入release2.jks的密码然后就导出了path文件，这个path文件是一个什么呢？？其实就是一个二进制的文件。
但是就是找不到path的路径，其实path文件的位置是在D:\,就在我电脑的D盘根目录

下面开始签名：

D:\Sdk\build-tools\29.0.0-rc2>apksigner sign --ks release.jks --next-signer --ks release2.jks   --lineage /path   release.apk
Keystore password for signer #1:
Keystore password for signer #2:
D:\Sdk\build-tools\29.0.0-rc2>

签完名以后我们放进去的apk 就会重新被签名老规矩再用上面的两种方式验证

第一种

先用keytool -printcert -jarfile apk查看，还是这样显示的这是没成功吗？留个疑问

第二种：发现 key size 已经成功变成2048 了并且成功v3的签名方式也从false 变成了 true 说明轮替成功了但是因为上面的签名算法没有显示啊那到底有没有轮替成功呢

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: ****
Signer #1 certificate SHA-256 digest: 6
Signer #1 certificate SHA-1 digest: 5
Signer #1 certificate MD5 digest: 4
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: 3
Signer #1 public key SHA-1 digest: 2
Signer #1 public key MD5 digest:1

好我们来开始验证

1：使用签名轮替后的使用的是新的签名算法还是旧的呢为啥keytool获取的签名信息为啥没有改变呢

我是怎么验证的呢？上面截图中是通过apksigner 签名后的apk 的签名信息虽然没有签名算法但是那些蓝色的信息也是通过sha256 或者 sha1 算法以后的得到的数据啊，那我只要验证单独用新签名文件签名的apk 跟我用密钥轮替后的apk的信息一致是不是就可以证明我轮替后的签名算法是用的新的了呢？

所以我用上面新的签名文件通过命令单独去给一个apk签名得到如下信息

签名命令：

apksigner sign --ks 新签名文件名字.jks 7.apk

首先 keytool 查看用新的签名文件单独签名的apk 的签名信息，证明新的签名签名算法是sha256 密钥长度也是2048 至少是符合规则的哈

其次使用查看apk的签名信息

apksigner verify -v --print-cert apk

得到的签名信息跟轮替签名的 apk的签名信息一模一样那么证明我们用的就是新的签名算法

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: ****
Signer #1 certificate SHA-256 digest: 6
Signer #1 certificate SHA-1 digest: 5
Signer #1 certificate MD5 digest: 4
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: 3
Signer #1 public key SHA-1 digest: 2
Signer #1 public key MD5 digest:1