鸿蒙NEXT开发【代应用/服务签名】

鸿蒙NEXT开发【代应用/服务签名】

引用

CSDN

1.

https://blog.csdn.net/m0_70748845/article/details/143665762

针对应用/服务的签名，DevEco Studio为开发者提供了自动签名方案，帮助开发者高效进行调试。也可选择手动签名对应用/服务进行签名。

自动签名

说明
使用自动签名前，请确保本地系统时间与北京时间（UTC/GMT +8.00）保持一致。如果不一致，将导致签名失败。

操作步骤

1. 连接真机设备，确保DevEco Studio与真机设备已连接，真机连接成功后如下图所示：

说明
如果同时连接多个设备，则使用自动化签名时，会同时将这多个设备的信息写到证书文件中。

2. 进入File > Project Structure… > Project > Signing Configs界面，勾选“Automatically generate signature”（如果是HarmonyOS工程，需同时勾选“Support HarmonyOS”），即可完成签名。如果未登录，请先单击Sign In进行登录，然后自动完成签名。

签名完成后，如下图所示，并在本地生成密钥（.p12）、证书请求文件（.csr）、数字证书（.cer）及Profile文件（.p7b），数字证书在AppGallery Connect网站的“证书、APP ID和Profile”页签中可以查看。

支持ACL权限

从DevEco Studio 4.0 Release版本起，若您的应用需要使用受限开放权限，可以在调测阶段通过自动签名快速申请。

注意

• 在申请前，请审视是否符合受限权限的使用场景。当前仅少量符合特殊场景的应用可在通过审批后，使用受限权限。
• 涉及受限权限的应用，在上架时，应用市场（AGC）将根据应用的使用场景审核是否可以使用对应的受限权限。

当前支持通过自动签名申请需要ACL权限的清单如表1所示。

执行操作步骤后，DevEco Studio将校验当前配置的ACL权限是否在上述列表内，然后通过应用市场（AGC）申请对应的Profile文件，用于签名打包，从而避免繁琐的手动签名步骤。

如果使用的DevEco Studio版本低于4.0 Release，在开发过程中使用了需要ACL的权限，则仍需要采用手动签名。

手动签名

HarmonyOS应用/服务通过数字证书（.cer文件）和Profile文件（.p7b文件）来保证应用/服务的完整性。在申请数字证书和Profile文件前，首先需要通过DevEco Studio来生成密钥（存储在格式为.p12的密钥库文件中）和证书请求文件（.csr文件）。然后，申请调试数字证书和调试Profile文件。最后，将密钥（.p12）文件、数字证书（.cer）文件和Profile（.p7b）文件配置到工程中。

基本概念

• 密钥：格式为.p12，包含非对称加密中使用的公钥和私钥，存储在密钥库文件中，公钥和私钥对用于数字签名和验证。
• 证书请求文件：格式为.csr，全称为Certificate Signing Request，包含密钥对中的公钥和公共名称、组织名称、组织单位等信息，用于向AppGallery Connect申请数字证书。
• 数字证书：格式为.cer，由华为AppGallery Connect颁发。
• Profile文件：格式为.p7b，包含HarmonyOS应用/服务的包名、数字证书信息、描述应用/服务允许申请的证书权限列表，以及允许应用/服务调试的设备列表（如果应用/服务类型为Release类型，则设备列表为空）等内容，每个应用/服务包中均必须包含一个Profile文件。

生成密钥和证书请求文件

1. 在主菜单栏单击Build > Generate Key and CSR。

说明
如果本地已有对应的密钥，无需新生成密钥，可以在Generate Key界面中单击下方的Skip跳过密钥生成过程，直接使用已有密钥生成证书请求文件。

2. 在Key Store File中，可以单击Choose Existing选择已有的密钥库文件（存储有密钥的.p12文件）；如果没有密钥库文件，单击New进行创建。下面以新创建密钥库文件为例进行说明。

3. 在Create Key Store窗口中，填写密钥库信息后，单击OK。

• Key store file：设置密钥库文件存储路径，并填写p12文件名。
• Password：设置密钥库密码，必须由大写字母、小写字母、数字和特殊符号中的两种以上字符的组合，长度至少为8位。请记住该密码，后续签名配置需要使用。
• Confirm password：再次输入密钥库密码。

4. 在Generate Key and CSR界面中，继续填写密钥信息后，单击Next。

• Alias：密钥的别名信息，用于标识密钥名称。请记住该别名，后续签名配置需要使用。
• Password：密钥对应的密码，与密钥库密码保持一致，无需手动输入。

5. 在Generate Key and CSR界面，设置CSR文件存储路径和CSR文件名。

6. 单击Finish，创建CSR文件成功，可以在存储路径下获取生成的密钥库文件（.p12）、证书请求文件（.csr）和material文件夹（存放签名方案相关材料，如密码、证书等）。

申请调试证书和调试Profile文件

通过生成的证书请求文件，向AppGallery Connect申请调试证书和Profile文件，操作如下：

• 创建HarmonyOS应用/服务：在AppGallery Connect项目中，创建一个HarmonyOS应用/服务，用于调试证书和Profile文件申请。
• 申请调试证书和Profile文件：在AppGallery Connect中申请、下载调试证书和Profile文件和[申请调试Profile]。

手动配置签名信息

在DevEco Studio中配置密钥（.p12）文件、申请的调试证书（.cer）文件和调试Profile（.p7b）文件。

在File > Project Structure > Project > Signing Configs窗口中，取消勾选“Automatically generate signature”（如果是HarmonyOS应用，请勾选“Support HarmonyOS”），然后配置工程的签名信息。

• Store file：选择密钥库文件，文件后缀为.p12，该文件为[生成密钥和证书请求文件]中生成的.p12文件。
• Store password：输入密钥库密码，该密码与[生成密钥和证书请求文件]中填写的密钥库密码保持一致。
• Key alias：输入密钥的别名信息，与[生成密钥和证书请求文件]中填写的别名保持一致。
• Key password：输入密钥的密码，与[生成密钥和证书请求文件]中填写的Store Password保持一致。
• Sign alg：签名算法，固定为SHA256withECDSA。
• Profile file：选择[申请调试证书和调试Profile文件]中生成的Profile文件，文件后缀为.p7b。
• Certpath file：选择[申请调试证书和调试Profile文件]中生成的数字证书文件，文件后缀为.cer。

说明
Store file，Profile file，Certpath file三个字段支持配置相对路径，以项目根目录为起点，配置文件所在位置的路径名称。

配置完成后，进入工程级build-profile.json5文件，在“signingConfigs”下可查看到配置成功的签名信息。

使用ACL的签名配置指导

如果应用需要使用受限权限，请先审视是否符合[受限开放权限]的使用场景，并根据以下流程申请。

1. 申请进入白名单。

请将[APP ID]、申请使用的受限开放权限、使用该权限的场景和功能信息，发送到agconnect@huawei.com。AGC运营将审核相关材料，通过后将为您配置受限开放权限使用的名单，审核周期一个工作日，请耐心等待。

注意

• 若应用因特殊场景要求使用受限开放权限，请务必在此步骤进行申请，否则应用将在审核时被驳回。。
• 同时，请确保应用申请受限开放权限时提供的场景和功能信息准确。
• 如果应用内使用的受限开放权限超出您申请的范围，或申请权限后使用的功能和场景超出可使用的范围，将影响您的应用上架。

2. 在配置文件中添加权限信息。

在需要使用权限的模块的module.json5/config.json文件中添加“requestPermissions”/“reqPermissions”字段，并在字段下添加对应的权限名等信息，以在Stage模型工程中增加权限“ohos.permission.ACCESS_IDS”为例。

{  
  "module": {  
    ...  
    "requestPermissions": [{  
      "name": "ohos.permission.ACCESS_IDS",  
    }],  
    ...  
  }  
}  

1. 手动配置签名信息。

2. 连接真机设备，确保[DevEco Studio与真机设备已连接]。

3. 点击DevEco Studio右上角的按钮打开“Project Structure”窗口，进入“Signing Config”页签，取消勾选“Automatically generate signature”。

在“Signing”下分别配置密钥(.p12文件)、Profile(.p7b文件)和数字证书(.cer文件)的路径等信息。

勾选“Show restricted permissions”，即可看到配置成功的权限。

配置完毕后，点击“Apply”。

2. 进入工程级build-profile.json5文件，在“signingConfigs”下可查看到配置成功的签名信息，点击右上角的“Run”按钮运行应用/服务。

常见问题

元服务签名时，提示"Invalid AppId in the bundle name."

问题原因

元服务的包名采用固定前缀和APP ID组合方式（com.atomicservice.[appid]）命名。开发者需先在（AppGallery Connect）新建元服务并获取其包名，并将包名填写至工程的bundleName字段中。若上传的元服务包的包名和AGC中的包名不一致，则会导致元服务上架失败。

不合法包名包括：

1. 包名在AGC中不存在；
2. 非当前DevEco Studio登录账号下的元服务应用的包名。

解决措施

1. 在AGC中新建元服务并获取相应的包名。

2. 在工程AppScope > app.json5文件中填写相应的bundleName，并重新进行签名。