KeyTool生成的签名证书在Delphi 10.4中无法用于Android应用打包

1. 问题背景与常见错误表现

在使用 Delphi 10.4 构建 Android 应用时，签名是发布流程的关键环节。开发者通常借助 Java 的 keytool 工具生成 JKS（Java KeyStore）格式的密钥库文件用于应用签名。然而，即使输入了正确的密码和路径，仍频繁出现如下构建错误：

• Failed to load keystore
• Keystore was tampered with, or password is incorrect
• Cannot recover key

这些提示误导性较强——即便确认密码无误、文件未损坏，问题依然存在。这表明根本原因并非用户操作失误，而是配置或生成过程中的技术细节不匹配所致。

2. 根本原因分析：由浅入深的技术链路排查

Delphi 10.4 使用的是较早期的 Android SDK 和 Gradle 构建系统集成，其对密钥库的解析机制较为严格。以下是导致签名失败的核心因素分层解析：

1. 密钥库类型不匹配：现代 JDK 默认可能生成 PKCS12 类型而非 JKS，而 Delphi 强制要求 JKS 格式。
2. 别名（Alias）错误或冲突：若别名包含特殊字符或大小写不一致，会导致加载失败。
3. 算法参数缺失：未明确指定密钥算法（如 RSA）、密钥长度不足（低于 2048 位），不符合 Android V2/V3 签名要求。
4. 有效期过短或超出范围：Android 要求证书有效期至少覆盖应用更新周期（建议 25 年以上）。
5. 存储密码与密钥密码分离不清：部分工具默认将两者设为相同，但 Delphi IDE 需分别填写，若遗漏易报错。

3. 正确生成 JKS 密钥的标准化命令

为确保兼容性，必须使用完整参数调用 keytool。以下是在命令行中推荐的标准语法：

keytool -genkeypair \
  -v \
  -keystore myreleasekey.jks \
  -storetype JKS \
  -keyalg RSA \
  -keysize 2048 \
  -validity 9125 \
  -alias mykeyalias \
  -dname "CN=My Company, OU=Development, O=MyOrg, L=Beijing, ST=Beijing, C=CN" \
  -storepass MyStrongStorePass123 \
  -keypass MyStrongKeyPass123

说明：

4. Delphi IDE 中的配置验证流程

生成密钥后，需在 Delphi 10.4 的“Project Options” → “Signing” 页面中正确填入信息。常见疏漏点包括：

• 路径包含中文或空格，引发读取异常
• 复制粘贴密码时带入不可见字符
• 密钥密码（Key Password）未单独设置

建议通过以下 Mermaid 流程图检查整体流程：

graph TD
    A[开始] --> B[使用keytool生成JKS]
    B --> C{是否指定-storetype JKS?}
    C -- 否 --> D[重新生成]
    C -- 是 --> E[检查密钥长度和算法]
    E --> F[导入Delphi Signing配置]
    F --> G{构建失败?}
    G -- 是 --> H[验证密码/别名/路径]
    H --> I[使用keytool -list验证条目]
    I --> J[修正并重试]
    G -- No --> K[构建成功]

5. 进阶诊断：使用 keytool 验证密钥完整性

可在终端执行以下命令验证密钥内容是否符合预期：

keytool -list -v -keystore myreleasekey.jks -storetype JKS

输出应包含：

• Entry type: PrivateKeyEntry
• Certificate chain length: 1
• Owner: CN=..., O=...
• Valid from ... until ... (长期有效)

若显示 "SecretKeyEntry" 或证书链为空，则表示生成方式有误，无法用于 Android 签名。

6. 兼容性与版本陷阱：JDK 版本的影响

JDK 8 与 JDK 11+ 在 keytool 行为上有显著差异：

因此，建议在 Delphi 开发环境中统一使用 JDK 8，或在高版本 JDK 中始终添加 -storetype JKS 参数。