1. 为什么需要手动重签AAB包当你从Google Play Console下载已签名的AAB文件时这个包会自动使用Google的签名密钥进行签名。但在很多实际开发场景中我们需要替换成自己的签名企业内部测试使用公司统一签名便于设备授权管理多渠道分发某些应用商店要求使用开发者自己的签名版本继承确保新版本能覆盖已安装的旧版本签名一致才能升级我遇到过不少开发者因为签名不一致导致应用无法更新的情况。比如测试组用Google签名测试后生产环境改用自己签名结果用户根本无法收到更新推送。所以理解重签流程非常重要。2. 生成专属KeyStore文件2.1 KeyTool基础命令解析KeyStore就像你的数字身份证这个命令会生成包含密钥对的.keystore文件keytool -genkey -v -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 2048 -validity 10000参数详解-keystore指定密钥库文件名建议包含日期便于管理-alias密钥别名后续签名时要用到-keyalg加密算法RSA是Android推荐标准-keysize密钥长度2048位是当前安全基准-validity有效期天数10000≈27年注意务必记录好密钥库密码、别名和别名密码我见过开发者丢失密钥导致整个应用无法更新的悲剧。2.2 增强安全性的实践技巧密码复杂度不要用简单密码建议使用密码管理器生成多环境隔离开发/测试/生产环境使用不同密钥备份策略将.keystore文件加密后存储在多个安全位置我曾经帮客户恢复过一个丢失的KeyStore通过反编译旧版APK提取证书指纹再暴力破解密码整个过程耗时两周。所以千万别忽视密钥管理3. 移除原始签名信息3.1 解构AAB文件结构AAB本质上是个zip压缩包签名信息存放在META-INF目录。用这个命令查看内容unzip -l your-app.aab | grep META-INF你会看到类似这样的签名文件MANIFEST.MFCERT.SFCERT.RSA3.2 安全删除签名使用zip命令的-d参数删除整个签名目录zip -d your-app.aab META-INF/*常见问题排查如果报zip warning: name not matched检查AAB路径是否正确在Mac上建议使用系统自带的zip工具brew安装的可能有兼容性问题实测发现某些情况下需要强制覆盖原始文件可以加上-q参数静默执行zip -d -q your-app.aab META-INF/*4. 使用jarsigner重新签名4.1 完整签名命令jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore my-release-key.keystore your-app.aab my_alias关键参数解析-sigalg签名算法必须与密钥算法匹配-digestalg摘要算法SHA-256是当前Android强制要求-verbose显示详细过程推荐开启以便调试4.2 签名优化技巧时间戳服务添加-tsa http://timestamp.digicert.com可延长签名有效期并行签名大文件可以添加-J-Djava.util.concurrent.ForkJoinPool.common.parallelism4加速内存调整遇到内存不足时设置-J-Xmx2048m我最近给一个300MB的AAB签名时发现默认配置下耗时超过5分钟调整并行参数后降到1分钟以内。5. 验证签名完整性5.1 基础验证命令keytool -printcert -jarfile your-app.aab成功签名会显示证书详情所有者: CNTest, OUDev, OCompany, LCity, STState, CUS 发布者: CNTest, OUDev, OCompany, LCity, STState, CUS 序列号: 123456 有效期开始日期: Mon Jan 01 00:00:00 CST 2023 证书指纹: SHA1: XX:XX:XX... SHA256: XX:XX:XX...5.2 高级验证方法提取证书unzip -p your-app.aab META-INF/CERT.RSA | openssl pkcs7 -print_certs -text比对指纹keytool -list -v -keystore my-release-key.keystore -alias my_alias验证签名块apksigner verify --verbose your-app.aab6. 自动化脚本实现对于需要频繁重签的团队建议使用自动化脚本。这是我项目中使用的shell脚本模板#!/bin/bash # 参数检查 if [ $# -ne 3 ]; then echo 用法: $0 原始AAB路径 KeyStore路径 KeyStore别名 exit 1 fi ORIGINAL_AAB$1 KEYSTORE_PATH$2 KEYSTORE_ALIAS$3 TEMP_DIR$(mktemp -d) # 移除旧签名 cp $ORIGINAL_AAB $TEMP_DIR/temp.aab zip -d -q $TEMP_DIR/temp.aab META-INF/* # 重新签名 jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 \ -keystore $KEYSTORE_PATH $TEMP_DIR/temp.aab $KEYSTORE_ALIAS # 验证签名 keytool -printcert -jarfile $TEMP_DIR/temp.aab # 输出结果 TIMESTAMP$(date %Y%m%d_%H%M%S) OUTPUT_FILEsigned_${TIMESTAMP}.aab mv $TEMP_DIR/temp.aab $OUTPUT_FILE echo 重签完成输出文件: $OUTPUT_FILE # 清理临时文件 rm -rf $TEMP_DIR7. 常见问题解决方案问题1jarsigner报keystore was tampered with, or password was incorrect检查密码是否正确包括KeyStore密码和别名密码确认KeyStore文件没有损坏用keytool -list测试问题2安装时提示Signature verification failed确保设备上没有安装相同包名但不同签名的版本检查签名使用的算法是否符合设备要求问题3Google Play提示签名不符在Play Console的应用签名页面核对上传的证书指纹如果是新应用确保首次上传使用相同的KeyStore记得去年帮一个客户排查签名问题时发现他们的CI系统在签名时自动添加了时间戳服务导致每次构建的签名指纹都不同。后来通过统一配置解决了这个问题。
)
)
