OpenHarmony開發(fā)實(shí)例：【配置應(yīng)用簽名信息】

使用真機(jī)設(shè)備運(yùn)行和調(diào)試OpenHarmony應(yīng)用前，需要對(duì)應(yīng)用進(jìn)行簽名才能正常運(yùn)行。該指導(dǎo)用于OpenHarmony應(yīng)用的簽名配置。配置應(yīng)用簽名信息的流程如下圖所示。

生成密鑰和證書請(qǐng)求文件

OpenHarmony應(yīng)用通過數(shù)字證書（.cer文件）和Profile文件（.p7b文件）來保證應(yīng)用的完整性，需要通過DevEco Studio來生成密鑰文件（.p12文件）和證書請(qǐng)求文件（.csr文件）。同時(shí)，也可以使用命令行工具的方式來生成密鑰文件和證書請(qǐng)求文件。

使用DevEco Studio生成密鑰和證書請(qǐng)求文件

1. 在主菜單欄點(diǎn)擊Build > Generate Keyand CSR 。

   說明

   如果本地已有對(duì)應(yīng)的密鑰，無需新生成密鑰，可以在Generate Key界面中點(diǎn)擊下方的Skip跳過密鑰生成過程，直接使用已有密鑰生成證書請(qǐng)求文件。

2. 在Key Store File中，可以點(diǎn)擊Choose Existing選擇已有的密鑰庫文件（存儲(chǔ)有密鑰的.p12文件）；如果沒有密鑰庫文件，點(diǎn)擊New進(jìn)行創(chuàng)建。下面以新創(chuàng)建密鑰庫文件為例進(jìn)行說明。
   

3. 在Create Key Store窗口中，填寫密鑰庫信息后，點(diǎn)擊 OK 。

   • Key Store File ：選擇密鑰庫文件存儲(chǔ)路徑。
   • Password ：設(shè)置密鑰庫密碼，必須由大寫字母、小寫字母、數(shù)字和特殊符號(hào)中的兩種以上字符的組合，長度至少為8位。請(qǐng)記住該密碼，后續(xù)簽名配置需要使用。
   • Confirm Password ：再次輸入密鑰庫密碼。

   

4. 在Generate Key界面中，繼續(xù)填寫密鑰信息后，點(diǎn)擊 Next 。

   • Alias ：密鑰的別名信息，用于標(biāo)識(shí)密鑰名稱。請(qǐng)記住該別名，后續(xù)簽名配置需要使用。
   • Password ：密鑰對(duì)應(yīng)的密碼，與密鑰庫密碼保持一致，無需手動(dòng)輸入。
   • Validity ：證書有效期，建議設(shè)置為25年及以上，覆蓋應(yīng)用的完整生命周期。
   • Certificate ：輸入證書基本信息，如組織、城市或地區(qū)、國家碼等。

   

5. 在Generate CSR界面，選擇密鑰和設(shè)置CSR文件存儲(chǔ)路徑。
   

6. 點(diǎn)擊OK按鈕，創(chuàng)建CSR文件成功，可以在存儲(chǔ)路徑下獲取生成的密鑰庫文件（.p12）和證書請(qǐng)求文件（.csr）。
   

使用命令行工具生成證書請(qǐng)求文件

使用Open JDK攜帶的Keytool工具生成證書請(qǐng)求文件。

1. 使用管理員身份運(yùn)行命令行工具。
   

2. 切換到keytool工具所在路徑，實(shí)際路徑請(qǐng)根據(jù)DevEco Studio安裝目錄進(jìn)行修改。
   []()

3. 執(zhí)行如下命令，生成公私鑰文件。例如，生成的密鑰庫名稱為ide_demo_app.p12，以存儲(chǔ)到D盤根目錄下為例

   keytool -genkeypair -alias "ide_demo_app" -keyalg EC -sigalg SHA256withECDSA -dname "C=CN,O=HUAWEI,OU=HUAWEI IDE,CN=ide_demo_app"  -keystore d:idedemokey.p12 -storetype pkcs12 -validity 9125 -storepass 123456Abc -keypass 123456Abc
   

   生成公私鑰文件的參數(shù)說明如下：

   說明

   請(qǐng)記錄下alias、storepass和keypass的值，在后續(xù)[配置簽名信息]操作會(huì)使用到。

   • alias ：密鑰的別名信息，用于標(biāo)識(shí)密鑰名稱。
   • sigalg ：簽名算法，固定為 SHA256withECDSA 。
   • dname ：按照操作界面提示進(jìn)行輸入。
     • C：國家/地區(qū)代碼，如CN。
     • O：組織名稱，如HUAWEI。
     • OU：組織單位名稱，如HUAWEI IDE。
     • CN：名字與姓氏，建議與別名一致。
   • validity ：證書有效期，建議設(shè)置為9125（25年）。
   • storepass ：設(shè)置密鑰庫密碼，必須由大寫字母、小寫字母、數(shù)字和特殊符號(hào)中的兩種以上字符的組合，長度至少為8位。請(qǐng)記住該密碼，后續(xù)簽名配置需要使用。
   • keypass ：設(shè)置密鑰的密碼，請(qǐng)與storepass保持一致。

4. 執(zhí)行如下命令，執(zhí)行后需要輸入storepass密碼，生成證書請(qǐng)求文件，后綴格式為.csr。

   keytool -certreq -alias "ide_demo_app" -keystore d:idedemokey.p12 -storetype pkcs12 -file d:idedemokey.csr
   

   生成證書請(qǐng)求文件的參數(shù)說明如下：

   • alias ：與[3]中輸入的alias保持一致。
   • file ：生成的證書請(qǐng)求文件名稱，后綴為.csr。

生成應(yīng)用證書文件

使用[生成密鑰和證書請(qǐng)求文件]中生成的證書請(qǐng)求文件，來生成應(yīng)用簽名所需的數(shù)字證書文件。生成方法如下：

進(jìn)入DevEco Studio安裝目錄的 Sdktoolchainslib文件夾下（該SDK目錄只能是OpenHarmony SDK，配置方法可參考[配置OpenHarmony SDK]），打開命令行工具，執(zhí)行如下命令（如果keytool命令不能執(zhí)行，請(qǐng)?jiān)谙到y(tǒng)環(huán)境變量中添加JDK的環(huán)境變量）。其中，只需要修改輸入和輸出即可快速生成證書文件，即修改 -infile指定證書請(qǐng)求文件csr文件路徑， -outfile指定輸出證書文件名及路徑。

keytool -gencert -alias "OpenHarmony Application CA" -infile myApplication_ohos.csr -outfile myApplication_ohos.cer -keystore OpenHarmony.p12 -sigalg SHA384withECDSA -storepass 123456 -ext KeyUsage:"critical=digitalSignature" -validity  3650 -rfc

關(guān)于該命令的參數(shù)說明如下：

• alias ：用于簽發(fā)證書的CA私鑰別名，OpenHarmony社區(qū)CA私鑰存于OpenHarmony.p12密鑰庫文件中，該參數(shù)不能修改。
• infile ：證書請(qǐng)求（CSR）文件的路徑。
• outfile ：輸出證書鏈文件名及路徑。
• keystore ：簽發(fā)證書的CA密鑰庫路徑，OpenHarmony密鑰庫文件名為OpenHarmony.p12，文件在OpenHarmony SDK中 Sdktoolchainslib路徑下，該參數(shù)不能修改。請(qǐng)注意，該OpenHarmony.p12文件并不是[生成密鑰和證書請(qǐng)求文件]中生成的.p12文件。
• sigalg ：證書簽名算法，該參數(shù)不能修改。
• storepass ：密鑰庫密碼，密碼為123456，該參數(shù)不能修改。
• ext ：證書擴(kuò)展項(xiàng)，該參數(shù)不能修改。
• validity ：證書有效期，自定義天數(shù)。
• rfc ：輸出文件格式指定，該參數(shù)不能修改。

生成應(yīng)用Profile文件

鴻蒙開發(fā)指導(dǎo)文檔：[gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]

Profile文件包含OpenHarmony應(yīng)用的包名、數(shù)字證書信息、描述應(yīng)用允許申請(qǐng)的證書權(quán)限列表，以及允許應(yīng)用調(diào)試的設(shè)備列表（如果應(yīng)用類型為Release類型，則設(shè)備列表為空）等內(nèi)容，每個(gè)應(yīng)用包中均必須包含一個(gè)Profile文件。

進(jìn)入 Sdktoolchainslib目錄下，打開命令行工具，執(zhí)行如下命令。

java -jar provisionsigtool.jar sign --in UnsgnedReleasedProfileTemplate.json --out myApplication_ohos_Provision.p7b --keystore OpenHarmony.p12 --storepass 123456 --alias "OpenHarmony Application Profile Release" --sigAlg SHA256withECDSA --cert OpenHarmonyProfileRelease.pem --validity 365 --developer-id ohosdeveloper --bundle-name 包名 --permission 受限權(quán)限名（可選） --permission 受限權(quán)限名（可選） --distribution-certificate myApplication_ohos.cer

關(guān)于該命令的參數(shù)說明如下：

• provisionsigtool ：Profile文件生成工具，文件在OpenHarmony SDK的 Sdktoolchainslib路徑下。
• in ：Profile模板文件所在路徑，文件在OpenHarmony SDK中 Sdktoolchainslib路徑下，該參數(shù)不能修改。
• out ：輸出的Profile文件名和路徑。
• keystore ：簽發(fā)證書的密鑰庫路徑，OpenHarmony密鑰庫文件名為OpenHarmony.p12，文件在OpenHarmony SDK中 Sdktoolchainslib路徑下，該參數(shù)不能修改。
• storepass ：密鑰庫密碼，密碼為123456，該參數(shù)不能修改。
• alias ：用于簽名Profile私鑰別名，OpenHarmony社區(qū)CA私鑰存于OpenHarmony.p12密鑰庫文件中，該參數(shù)不能修改。
• sigalg ：證書簽名算法，該參數(shù)不能修改。
• cert ：簽名Profile的證書文件路徑，文件在OpenHarmony SDK中 Sdktoolchainslib路徑下，該參數(shù)不能修改。
• validity ：證書有效期，自定義天數(shù)。
• developer-id ：開發(fā)者標(biāo)識(shí)符，自定義一個(gè)字符串。
• bundle-name ：填寫應(yīng)用包名。
• permission ：可選字段，如果不需要，則可以不用填寫此字段；如果需要添加多個(gè)受限權(quán)限，則如示例所示重復(fù)輸入。受限權(quán)限列表如下：ohos.permission.READ_CONTACTS、ohos.permission.WRITE_CONTACTS。
• distribution-certificate ：[生成應(yīng)用證書文件]中生成的證書文件。

配置應(yīng)用簽名信息

在真機(jī)設(shè)備上調(diào)試前，需要使用到制作的私鑰（.p12）文件、證書（.cer）文件和Profile（.p7b）文件對(duì)調(diào)試的模塊進(jìn)行簽名。

打開 File > Project Structure ，點(diǎn)擊 Project > Signing Configs > debug窗口中，去除勾選“Automatically generate signing”，然后配置指定模塊的調(diào)試簽名信息。

• Store File ：選擇密鑰庫文件，文件后綴為.p12，該文件為[生成密鑰和證書請(qǐng)求文件]中生成的.p12文件。
• Store Password ：輸入密鑰庫密碼，該密碼為[生成密鑰和證書請(qǐng)求文件]中填寫的密鑰庫密碼保持一致。
• Key Alias ：輸入密鑰的別名信息，與[生成密鑰和證書請(qǐng)求文件]中填寫的別名保持一致。
• Key Password ：輸入密鑰的密碼，與 Store Password保持一致。
• Sign Alg ：簽名算法，固定為SHA256withECDSA。
• Profile File ：選擇[生成應(yīng)用Profile文件]中生成的Profile文件，文件后綴為.p7b。
• Certpath File ：選擇[生成應(yīng)用證書文件]中生成的數(shù)字證書文件，文件后綴為.cer。

設(shè)置完簽名信息后，點(diǎn)擊 OK進(jìn)行保存，然后可以在工程下的build.gradle中查看簽名的配置信息。

默認(rèn)情況下，DevEco Studio編譯hap包的類型為debug類型，如果需要編譯release類型的hap包，請(qǐng)打開工程左下角的OhosBuild Variants，設(shè)置模塊的編譯構(gòu)建類型為release。

編譯完成后，OpenHarmony應(yīng)用的Hap包可以從工程的bulid目錄下獲取。

審核編輯 黃宇