HarmonyOS 鸿蒙Next中关于手机更新包update_full_base.zip验证证书
HarmonyOS 鸿蒙Next中关于手机更新包update_full_base.zip验证证书 首先我要感谢华为,提供了如此丰富好用的产品,非常感谢!
在了解手机操作系统时,我下载了一些手机更新包,比如,对于手机Honor9x的更新包,
HLK-LGRP1-CHN 10.1.0.138/full/update_full_base.zip ,或者其他在第三方下载的update.zip,
在这些zip文件里面,META-INF/com/android/otacert 为发布的证书,用openssl可以列出证书内容,
openssl x509 -noout -text -fingerprint -in ./META-INF/com/android/otacert
请问如何验证此证书为华为的证书,而不是其它自签名的证书?谢谢!
可以按照以下步骤进行:
-
验证匿名证书链的正确性:
- 在端侧和云侧对数据进行验签之前,必须先验证匿名证书链的正确性。
- 使用Universal Keystore Kit官网提供的根CA证书对匿名证书链的合法性进行校验。确保匿名证书链包含三级证书,并且三级证书的扩展字段符合预期。
-
检查证书的扩展字段:
- 解析三级证书获取应用公钥、AppID、密钥管理部件ID。
- 检查三级证书的扩展字段是否符合预期。例如,“应用AppID”指的是HarmonyOS应用的ID,包含bundleName和签名证书公钥的哈希值。
-
验证证书的生效时间:
- 确保证书尚未过期且已生效。证书的生效时间应早于当前系统时间或业务指定的时间点。
-
检查证书的颁发者:
- 确保证书的颁发者可以被获取。如果在证书校验过程中无法获取当前证书的颁发者,则证书可能存在问题。
验证匿名证书链-签名验证-可信应用服务-Device Security Kit(设备安全服务)-安全-系统 - 华为HarmonyOS开发者 (huawei.com)
更多关于HarmonyOS 鸿蒙Next中关于手机更新包update_full_base.zip验证证书的实战系列教程也可以访问 https://www.itying.com/category-93-b0.html
因为那个证书是自签名证书(openssl打印出的issuer,subject都是
CN = AndroidTeam, OU = TerminalCompany, O = Huawei, L = Shenzhen, C = CN), 所以,请问华为能不能在某一网页公布这些证书,或者公布这些证书的fingerprint呢?例如:
openssl x509 -noout -text -fingerprint -in ./META-INF/com/android/otacert
SHA1 Fingerprint=84:AA:1A:BA:26:CB:0B:AF:B1:45:BF:E6:72:D2:33:04:70:1D:6A:87,
在HarmonyOS(鸿蒙Next)中,手机更新包update_full_base.zip的验证证书是确保更新包完整性和安全性的关键。系统会使用预置的根证书对更新包中的签名进行验证,确保其来自可信源且未被篡改。验证过程包括检查证书链、签名算法和有效期等。如果验证失败,系统将拒绝安装更新,以保护设备安全。开发者需确保更新包使用正确的证书签名,并遵循华为的签名规范。
