密钥库和别名 - 是否有使用多个别名？

Question

使用 Eclipse 导出签名的 Android 应用程序时，使用多个别名是否有目的？

根据关于签名的官方指南，建议您对所有应用程序进行签名具有相同的证书，允许您的应用程序共享数据、代码并以模块化方式更新。

假设“别名”、“密钥”和“证书”在这种情况下本质上是可以互换的，那么为什么有人会想要为其所有应用程序使用不同的别名？我能想到的唯一原因是它为您的应用程序增加了更多的安全性，从某种意义上说，受损的密钥/密码不会危及一切。还有其他原因吗？

另外，生成的密钥是否取决于别名的名称？换句话说，如果更改别名但不更改密码，生成的证书会有所不同吗？

Answer 1

如果我错了，请纠正我，但如果您会看到这个答案 对于类似的问题，您会发现证书确实取决于您选择用于签名的特定“别名”（在您的密钥库中）。

仔细阅读答案，您会发现“密钥库”包含“别名”（实际上是私钥+公钥对）。当您对 apk 进行签名时，“公钥”就是嵌入的实际证书。

因此，在更新应用程序时，您应该始终使用相同的“别名”，而不仅仅是相同的“密钥库”。至于为什么开发人员会在他们的密钥库中拥有多个“别名”，我不确定除了您和其他人所说的之外还有什么好处。

使用不同别名进行签名的唯一方法是克隆前一个别名，正如答案所建议的那样。

我还确认使用不同别名（来自同一密钥库）签署 APK 将生成不同的 APK 签署签名，这应该证明不同的“别名”=不同的证书。 如何获取您的签名（<- 注意：我不知道他们指的Trace.i方法是什么，我用Log.i代替）

Answer 2

请注意，通过使用不同的密钥对应用程序进行签名，您会牺牲应用程序之间的“基于签名的权限”互操作性。

摘自 Android - 签署您的应用程序 - 签名策略

Android系统提供基于签名的权限强制执行，
以便应用程序可以向另一个应用程序公开功能
使用指定的证书进行签名。通过签署多个
具有相同证书并使用基于签名的应用程序
权限检查，您的应用程序可以在
安全的方式。

Answer 3

我正在做一些测试，虽然在密钥库中使用哪个密钥似乎很重要，但更改密钥上的别名和密钥库文件的名称似乎对手机来说并不重要。如果您好奇，我使用从这里获得的 keytool-iui 更改了别名：http: //code.google.com/p/keytool-iui/

为了回答OP，我想说，如果您在一家有多个部门编写自己的应用程序的大公司工作，那么它会很有用。因此，Wilson 的 Widgets 可能有一个 wilsonwidgets.keystore 密钥库，并且可能有一个具有“widgetmakers”密钥的内部部门，一个具有“widgetdelivery”密钥的部门，以及另一个具有“hrdepartment”密钥的部门。每个部门都可以阻止其他部门更新其应用程序，但公司本身将所有密钥存储在一个密钥库中，并且可以备份到一个位置。

就我个人而言，我使用不同的密钥对每个应用程序进行签名，并将它们全部存储在同一个密钥库中。我这样做是为了，如果谷歌决定从我这里购买我的一款应用程序，我可以断开该密钥并将其交给他们，而不必向他们出售整个应用程序或为其他应用程序重新生成密钥。实际上...我只是在浪费时间和精力...叹气