Подписание пакетов

Установочные пакеты приложений для ОС Аврора должны быть подписаны сертификатами, позволяющими идентифицировать поставщиков ПО и избежать попадания на мобильные устройства нежелательных приложений. Применяется для подписи самого пакета и исполняемых файлов внутри него. Подпись приложений — это один из механизмов безопасности ОС Аврора.

Для подписания пакета необходимы:

• закрытый ключ подписывающей стороны {key}.pem;
• сертификат подписывающей стороны {cert}.pem.

Содержание:

• Типы подписей
  • Профили безопасности подписи разработчика
• Получение персонального сертификата
  • Генерация ключа
  • Генерация файла запроса для выпуска сертификата
  • Официальное письмо
• Инструменты для работы с подписью приложения

Типы подписей

Тип	Описание	Классификация	Кто использует?	Для чего?
Подпись разработчика (обязательно)	Обязательная подпись, без этой подписи установка приложения на устройство с ОС Аврора невозможна. Имеет подтипы в соответствии с профилем безопасности.	Публичная	Разработчик приложения	Разработка и отладка приложения	Для профиля Regular ключ и сертификат можно скачать свободно: regular_key.pem, regular_cert.pem. Другие профили возможно получить по запросу на dev-support@omp.ru. Начиная с Аврора 5, общедоступные ключи блокируются до включения режима разработчика, и без включения режима разработчика пользователем установка и запуск приложений, подписанных такими ключами, блокируется.
		Персональная (на имя компании)	Вендор приложения	Выпуск релиза	Актуально для вендоров приложения на этапе выпуска релиза. Инструкция по получению.
Подпись источника (опционально)	Используется для подтверждения, что пакет получен из доверенного источника (компанией-клиентом или магазином приложений).	Персональная (на имя компании-клиента)	Эксплуатант приложения	Контроль устанавливаемого приложения на устройствах	Все приложения, применяемые в корпоративной инфраструктуре, должны быть дополнительно подписаны подписью источника (ставится поверх подписи разработчика). Инструкция по получению.

Профили безопасности подписи разработчика

Различные подтипы подписи разработчика необходимы для поддержки разных профилей валидации при установке пакета.

Виды профилей безопасности: Regular, Antivirus, Extended, Market, MDM.

Следует обратить внимание, что для большинства приложений допустимо использование только профиля подписи Regular. Компания "Открытая мобильная платформа" может отказать в выдаче сертификата подписи прочих профилей, а также в случае несоответствия запроса требованиям, указанным в документации.

Получение персонального сертификата

1. Закрытый ключ подписывающей стороны генерирует разработчик или клиент самостоятельно по инструкции и хранит у себя.
2. Сертификат генерируют сотрудники ОМП по индивидуальному запросу. Для отправки запроса на получение сертификата требуются:
   • подписанное Соглашение о сотрудничестве с ООО «Открытая мобильная платформа»;
   • файл запроса сертификата (генерируется по инструкции);
   • официальное письмо с запросом на выпуск сертификата.

Файл запроса и официальное письмо необходимо направить на dev-support@omp.ru.

Внимание! Используемые партнёрами персональные ключи являются приватными и хранить их должны сотрудники, уполномоченные подписывать приложения, например:

• для подписи разработчика — релиз-менеджер;
• для подписи источника — Администратор АЦ.

Генерация ключа

Закрытый ключ подписывающей стороны генерирует разработчик или клиент самостоятельно, используя выбранный криптографический алгоритм шифрования. Для подписывания пакетов рекомендуется использовать ГОСТ 34.10-2012. После генерации ключ будет сохранён в файл {key}.pem.

Генерацию ключа можно выполнить с помощью:

• утилиты OpenSSL (в сборочном окружении)
• Аврора IDE

Генерация файла запроса для выпуска сертификата

Генерация файла запроса выполняется разработчиком или клиентом. Файл запроса формируется на основании файла ключа {key}.pem.

В процессе создания файла запроса необходимо указать имя компании — {COMMON_NAME}. Как правило, используется доменное имя сайта компании (например omp.ru).

Требования к указанию имени компании {COMMON_NAME}:

• Название компании должно быть содержательным и не вводить пользователя в заблуждение;
• Максимальная длина — 64 символа;
• Допустимо использовать буквы, тире, точку, подчёркивание и цифры.

После выполнения генерации файл запроса сохраняется как {csr}.pem.

Генерацию файла запроса можно выполнить с помощью:

• утилиты OpenSSL (в сборочном окружении)
• Аврора IDE

Официальное письмо

Официальное письмо должно быть на фирменном бланке компании и с подписью того, кто имеет право подписи в компании (например, директор IT-департамента).

В письме следует указать, для чего нужен сертификат, какой ключ подписи нужен, какой у ключей должен быть профиль, когда и от кого на dev-support@omp.ru был отправлен запрос с файлом {csr}.pem. А также вместе с письмом направить приложение с кратким описанием мобильного приложения.

Необходимо направить скан-копию официального письма на dev-support@omp.ru.

После рассмотрения запроса в случае одобрения заявки ответным письмом будет прислан сгенерированный файл сертификата подписи приложения {cert}.pem.

Шаблон письма можно скачать по ссылке, либо ознакомиться ниже:

В ООО "Открытая мобильная платформа".

Для целей выпуска релизов приложений для ОС Аврора просим выдать сертификат для ключей подписи разработчика ОС Аврора с профилем regular/extended/antivirus/mdm для ООО "Пример". Запрос на сертификат отправлен в вашу службу поддержки разработчиков ДД.ММ.ГГГГ с электронной почты example@example.ru.

Нам известно, что сформированный закрытый ключ подписи приложений является конфиденциальной информацией, не подлежит распространению и будет использован только для целей подписи релизов приложений для ОС Аврора, на которые наша компания обладает соответствующими правами на интеллектуальную собственность, в том числе в отношении используемых в приложении данных и средств индивидуализации. При обнаружении случаев компрометации закрытого ключа (его утечки, утраты или передачи третьему лицу) обязуемся незамедлительно сообщить об этом в адрес ООО «Открытая мобильная платформа» по электронной почте dev-support@omp.ru.

Также нам известно, что:

• информация, отраженная в сертификате подписи, является публично-доступной, поэтому в ней не должна содержаться информация оскорбительного характера, нарушающая законы РФ или вводящая в заблуждение;
• ООО "Открытая мобильная платформа" имеет право отказать в выдаче сертификата и потребовать изменить информацию, отраженную в запросе сертификата, если она не соответствует вышеуказанным требованиям;
• ООО "Открытая мобильная платформа" не несет ответственность, связанную с приложениями, подписанными сертификатом.

В приложении к письму направляю краткое описание мобильного/ых приложения/й (наименование, назначение, функциональные особенности), для которых запрашивается сертификат (допускается использование сертификата для подписи и других приложений, не указанных изначально в приложении).

Приложение: Краткое описание мобильного(ых) приложения(й), Х листов в 1 экз.

Руководитель, печать, подпись.

Инструменты для работы с подписью приложения

Подписать приложение, а также проверить и удалить подпись установочного пакета можно следуя инструкции из соответствующего раздела с помощью:

• утилиты rpmsign-external (в сборочном окружении)
• Аврора IDE