使用Java的keytool程序创建密钥库文件时,它会询问有关与密钥库关联的标识的一系列问题。这些包括一些我不知道它们是否被要求,它们用于什么(如果有的话),任何人将如何看到/使用它们,以及它们应该从哪个上下文回答。例如:
“你的名字和名字是什么?” 所以我想知道这样的事情,他们的意思是什么?如果我们的团队有一个IT技术人员为我们运行这个程序,他应该说出他的名字吗?它应该是我们开发团队或部门的经理吗?如果我们在一家公司工作,那个名字离开公司的人,我们该怎么办?
“您的单位部门的名称是什么?” 如果没有,该怎么办?
“您的组织名称是什么?” 如果我只是制作某个计划的人会怎样?
“这个单位的双字母国家代码是什么?” 什么单位?这有什么影响?我可以留空吗?
此外,在分配人员方面,与提供此信息相关的协议,权利和责任是什么?或者这些只是在我们想要关联这些信息的情况下尝试提供帮助,如果它们看起来不相关或不合适,我们可以选择将它们留空吗?
如果它是Android Play商店的移动应用,答案会有所不同吗?
答案 0 :(得分:1)
这些问题的目的是向使用该密钥库文件的人提供有关您/您的组织的信息;例如Android Play商店注册人。
如何回答keytool要求的Java密钥库问题?
一般情况下,您应如实回答,提供为此目的所必需的信息。
在您的情况下,我认为您正在签署您的申请。 (如果我错了,请纠正我......)在这种情况下,证书的目的是(根据this):
Android使用此证书来识别应用的作者...
因此,您的答案应足以让Android Platy Store管理员和Android最终用户以足够的特异性识别作者,以决定是否信任它。
(显然,在不同的情况下,作者可能被认定为一个人,一个组织单位或一个组织。这取决于你......发布软件的人......打电话。如果有的话Android文档中的一些指导,我无法找到它。)
此外,在分配人员方面,与提供此信息相关的协议,权利和责任是什么?
AFAIK,没有。但是,上传您的应用肯定会对您承担一定的义务。
或者这些只是在我们想要关联此信息的情况下尝试提供帮助,如果它们看起来不相关或不合适,我们可以选择留空任何一个?
目前尚不清楚。但是,遗漏信息可能会导致人们认定您的证书不值得信任。同样,自签名证书可能会被怀疑 1 。
1 - 例如,没有什么能阻止您编写Android应用以访问用户的银行帐户。你可以在应用程序上签名,说它是由银行发布的。但是,如果证书没有信任链返回到受信任的根CA,则用户应该怀疑地处理您的应用。
答案 1 :(得分:1)
请参阅: http://developer.android.com/tools/publishing/app-signing.html 和 https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html#CHDHBFGJ (如果你真的想深入了解"主题")的细节 http://www.ietf.org/rfc/rfc5280.txt
这些选项允许您签署某些内容(例如您的Android apk)并验证您的更新是真正的交易,以避免欺诈。
只需输入一些适当的值,无论发生什么(人们离开,组织名称更改,无论如何),您必须使用相同的密钥库。