Die Play App-Signatur verwenden

Mit der Play App-Signatur verwaltet und schützt Google den Signaturschlüssel Ihrer App und verwendet ihn zum Signieren optimierter APKs für den Vertrieb, die aus Ihren App-Bundles generiert werden. Die Funktion speichert Ihren App-Signaturschlüssel in der sicheren Infrastruktur von Google. Zusätzlich stehen Ihnen Upgrade-Optionen zur Verfügung, mit denen sich die Sicherheit noch weiter verbessern lässt.
 

Damit Sie die Play App-Signatur nutzen können, müssen Sie Kontoinhaber oder Nutzer mit der Berechtigung Produktionsversionen veröffentlichen, Geräte ausschließen und die Play App-Signatur verwenden sein und den Nutzungsbedingungen für die Play App-Signatur zustimmen.

So funktionierts

Wenn Sie die Play App-Signatur verwenden, werden die Schlüssel in derselben sicheren Infrastruktur gespeichert, die Google für seine eigenen Schlüssel nutzt. Dort sind sie alle durch den Key Management Service von Google geschützt. Weitere Informationen zur Infrastruktur von Google finden Sie in den Whitepapers zum Thema Sicherheit in Google Cloud.

Android-Apps sind mit einem privaten Schlüssel signiert. Damit App-Updates sicher sind, ist jedem privaten Schlüssel ein öffentliches Zertifikat zugeordnet. Mit diesem können Geräte und Dienste überprüfen, ob das App-Update von derselben Quelle stammt. Geräte akzeptieren nur dann Updates, wenn seine Signatur mit der Signatur der installierten App übereinstimmt. Wenn Google Ihren App-Signaturschlüssel verwaltet, wird dieser Prozess sicherer.

Hinweis: Bei Apps, die vor August 2021 erstellt wurden, können Sie weiterhin ein APK hochladen und Ihre eigenen Schlüssel verwalten, anstatt die Play App-Signatur zu verwenden und die App über ein Android App Bundle zu veröffentlichen. Falls Sie Ihren Schlüsselspeicher jedoch verlieren oder er kompromittiert wird, können Sie Ihre App erst dann wieder aktualisieren, wenn Sie eine neue App mit einem neuen Paketnamen veröffentlicht haben. Bei diesen Apps empfiehlt Google Play, die Play App-Signatur zu verwenden und auf App Bundles umzusteigen.

Play App-Signatur einrichten und verwalten

Wenn Sie die Play App-Signatur noch nicht für Ihre App verwenden, folgen Sie dieser Anleitung:

Schritt 1: Uploadschlüssel erstellen

  1. Erstellen Sie Ihren Uploadschlüssel anhand dieser Anleitung.
  2. Signieren Sie Ihr App Bundle mit dem Uploadschlüssel.

Schritt 2: App-Veröffentlichung vorbereiten

  1. Bereiten Sie Ihren Release vor und veröffentlichen Sie ihn anhand dieser Anleitung.
  2. Nachdem Sie einen Release-Track ausgewählt haben, wird im Abschnitt „App-Integrität“ der Play App-Signaturstatus für Ihre App angezeigt.
  3. Wenn Sie mit einem von Google generierten App-Signaturschlüssel fortfahren möchten, laden Sie Ihr App Bundle hoch. Alternativ können Sie App-Signaturschlüssel ändern auswählen, um auf die folgenden Optionen zuzugreifen:
    • Von Google generierten App-Signaturschlüssel verwenden: Mehr als 90 % der neuen Apps verwenden von Google generierte App-Signaturschlüssel. Die Verwendung eines solchen Schlüssels schützt vor Verlust oder Manipulation (der Schlüssel kann nicht heruntergeladen werden). Wenn Sie diese Option wählen, können Sie mit dem von Google generierten Schlüssel signierte Distributions-APKs aus dem App Bundle Explorer für andere Distributionskanäle herunterladen oder für sie einen anderen Schlüssel verwenden.
    • Anderen App-Signaturschlüssel verwenden: Wenn Sie den App-Signaturschlüssel auswählen, können Sie denselben Schlüssel wie für eine andere App in Ihrem Entwicklerkonto verwenden oder eine lokale Kopie Ihres App-Signaturschlüssels aufbewahren, um die Flexibilität zu erhöhen. Beispiel: Sie haben bereits einen Schlüssel, weil Ihre App auf einigen Geräten vorinstalliert ist. Wenn Sie eine Kopie Ihres Schlüssels außerhalb der Google-Server haben, erhöht sich das Risiko, falls die lokale Kopie irgendwann kompromittiert werden sollte. Sie haben folgende Möglichkeiten, einen anderen Schlüssel zu verwenden:
  4. Folgen Sie den restlichen Schritten, um den Release vorzubereiten und zu veröffentlichen.

Hinweis: Um fortfahren zu können, müssen Sie die Nutzungsbedingungen akzeptieren und die Play App-Signatur aktivieren.

Schritt 3: App-Signaturschlüssel bei API-Anbietern registrieren

Wenn Ihre App APIs verwendet, müssen Sie bei diesen in der Regel Ihren App-Signaturschlüssel registrieren, um sich mit dem Fingerabdruck des Zertifikats zu authentifizieren. So finden Sie das Zertifikat:

  1. Öffnen Sie die Play Console und rufen Sie die Seite Play App-Signatur auf (Testen und veröffentlichen  > Einrichten > App-Signatur).
    • Tipp: Sie können diese Seite auch über die Seite App-Integrität (Testen und veröffentlichen  > App-Integrität) aufrufen. Dort finden Sie Integritäts- und Signaturdienste, mit denen Sie dafür sorgen können, dass Nutzer Ihre Apps und Spiele wie gewünscht verwenden können.
  2. Scrollen Sie zum Abschnitt „Zertifikat für den App-Signaturschlüssel“ und kopieren Sie die Fingerabdrücke (MD5, SHA‑1 und SHA‑256) Ihres App-Signaturzertifikats.
    • Wenn der API-Anbieter einen anderen Fingerabdrucktyp verlangt, können Sie außerdem das Originalzertifikat im .der-Format herunterladen und es in das vom API-Anbieter vorgegebene Format umwandeln lassen.

Uploadschlüssel erstellen und Schlüsselspeicher aktualisieren

Falls Sie die Sicherheit erhöhen möchten, empfehlen wir, Ihre App mit einem neuen Uploadschlüssel zu signieren, statt Ihren App-Signaturschlüssel zu verwenden.

Wenn Sie die Funktion „Play App-Signatur“ aktivieren, können Sie einen Uploadschlüssel erstellen. Oder erstellen Sie später einen auf der Seite Play App-Signatur (Testen und veröffentlichen  > Einrichten > App-Signatur).

So erstellen Sie einen Uploadschlüssel:

  1. Folgen Sie der Anleitung auf der Website für Android-Entwickler. Bewahren Sie Ihren Schlüssel an einem sicheren Ort auf.
  2. Exportieren Sie das Zertifikat für den Uploadschlüssel in das PEM-Format. Ersetzen Sie die folgenden unterstrichenen Argumente:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Während des Release-Vorgangs werden Sie dazu aufgefordert, das Zertifikat hochzuladen und es so bei Google zu registrieren.

Wenn Sie einen Uploadschlüssel verwenden:

  • Ihr Uploadschlüssel wird nur bei Google registriert, um die Identität des App-Erstellers zu authentifizieren.
  • Ihre Signatur wird aus allen hochgeladenen APKs entfernt, bevor diese an die Nutzer gesendet werden

App-Signaturschlüssel aktualisieren

Im folgenden Abschnitt finden Sie eine Anleitung zur Aktualisierung Ihres App-Signaturschlüssels. Wenn Sie den Uploadschlüssel verloren haben, müssen Sie keine Schlüsselaktualisierung anfordern. Sehen Sie sich in einem solchen Fall unten auf der Seite den Abschnitt Verloren gegangener oder kompromittierter Uploadschlüssel an.

Unter bestimmten Umständen können Sie eine Aktualisierung des App-Signaturschlüssels anfordern.

Hier sind einige Gründe, die für eine Aktualisierung des App-Signaturschlüssels sprechen:

  • Sie benötigen einen kryptografisch stärkeren Schlüssel.
  • Ihr App-Signaturschlüssel wurde kompromittiert.

Wichtig: Schlüsselupgrades werden nur für Apps unterstützt, die App-Bundles verwenden.

Bevor Sie eine Schlüsselaktualisierung in der Play Console anfordern, sollten Sie den Abschnitt Wichtige Hinweise vor dem Anfordern einer Schlüsselaktualisierung unten lesen. Wenn Sie die anderen Abschnitte unten maximieren, werden weitere Informationen dazu angezeigt, wie Sie eine Schlüsselaktualisierung anfordern.

Best Practices

  • Falls Sie Ihre App auch außerhalb von Google Play vertreiben oder dies für die Zukunft planen und denselben Signaturschlüssel verwenden möchten, haben Sie zwei Möglichkeiten: 
    • Entweder lassen Sie Google den Schlüssel generieren (empfohlen) und laden dann ein signiertes, universelles APK aus dem App Bundle Explorer herunter, das Sie außerhalb von Google Play vertreiben können.
    • Oder Sie generieren den App-Signaturschlüssel, den Sie für alle App-Shops verwenden möchten, und übertragen anschließend eine Kopie an Google, wenn Sie die Play App-Signatur konfigurieren.
  • Zum Schutz Ihres Kontos sollten Sie für Konten mit Zugriff auf die Play Console die Bestätigung in zwei Schritten aktivieren.
  • Nachdem Sie ein App Bundle in einem Release-Track veröffentlicht haben, können Sie im App Bundle Explorer auf installierbare APKs zugreifen, die Google aus Ihrem App Bundle generiert hat. Sie können jetzt Folgendes tun:
    • Einen Link zur internen App-Freigabe kopieren und teilen, mit dem Sie durch einmaliges Tippen testen können, was Google Play aus Ihrem App Bundle auf verschiedenen Geräten installieren würde.
    • Ein signiertes, universelles APK herunterladen. Dieses APK ist mit dem App-Signaturschlüssel signiert, den Google aufbewahrt, und kann auf jedem Gerät installiert werden, das Ihre App unterstützt.
    • Ein ZIP-Archiv mit allen APKs für ein bestimmtes Gerät herunterladen. Diese APKs werden mit dem App-Signaturschlüssel signiert, den Google aufbewahrt. Sie können die APKs im ZIP-Archiv mit dem Befehl adb install-multiple *.apk auf einem Gerät installieren.
  • Generieren Sie einen neuen Uploadschlüssel, der sich von Ihrem App-Signaturschlüssel unterscheidet, um die Sicherheit zu erhöhen.
  • Wenn Sie eine Google API verwenden, empfehlen wir, den Uploadschlüssel und die Zertifikate für den App-Signaturschlüssel in der Google Cloud Console für Ihre App zu registrieren.
  • Wenn Sie Android-App-Links verwenden, müssen Sie die Schlüssel in der jeweiligen JSON-Datei „Digital Asset Links“ auf Ihrer Website aktualisieren.

Verloren gegangener oder kompromittierter Uploadschlüssel

Wenn Sie Ihren privaten Uploadschlüssel verloren haben oder er kompromittiert wurde, können Sie einen neuen erstellen. Der Inhaber des Entwicklerkontos kann dann in der Play Console den Schlüssel zurücksetzen.

Nachdem unser Supportteam den neuen Uploadschlüssel registriert hat, erhalten der Kontoinhaber und die globalen Administratoren eine Nachricht im Posteingang und eine E-Mail mit weiteren Informationen. Anschließend können Sie Ihre Schlüsselspeicher aktualisieren und Ihren Schlüssel bei API-Anbietern registrieren.

Der Kontoinhaber kann die Anfrage zum Zurücksetzen in der Play Console auch zurückziehen.

Wichtig: Das Zurücksetzen des Uploadschlüssels hat keinen Einfluss auf den App-Signaturschlüssel, den Google Play verwendet, um APKs nochmals zu signieren, bevor sie an Nutzer übermittelt werden.

APK-Signaturschema v4

Geräte mit Android 11 oder höher unterstützen das neue APK-Signaturschema v4. Die Play App-Signatur verwendet die v4-Signatur für berechtigte Apps, damit diese auf optimierte Bereitstellungsfunktionen zugreifen können, die auf neueren Geräten verfügbar sind. Entwickler müssen nichts weiter tun und diese Änderung sollte keine Auswirkungen auf die Nutzer haben.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

2037915750968713219
true
Suchen in der Hilfe
true
true
true
true
true
92637
Suche
Suche löschen
Suche schließen
Hauptmenü
false
false
false