Menggunakan Penandatanganan Aplikasi Play

Dengan Penandatanganan Aplikasi Play, Google akan mengelola dan melindungi kunci penandatanganan aplikasi untuk Anda, dan menggunakannya untuk menandatangani APK distribusi yang dioptimalkan dan dihasilkan dari app bundle Anda. Penandatanganan Aplikasi Play menyimpan kunci penandatanganan aplikasi di infrastruktur Google yang aman dan menawarkan opsi upgrade untuk meningkatkan keamanan.
 

Untuk menggunakan Penandatanganan Aplikasi Play, Anda harus merupakan pemilik akun atau pengguna yang memiliki izin Merilis ke produksi, mengecualikan perangkat, dan menggunakan izin Penandatanganan Aplikasi Play, serta harus menyetujui Persyaratan Layanan Penandatanganan Aplikasi Play.

Cara kerjanya

Ketika Anda menggunakan Penandatanganan Aplikasi Play, kunci Anda disimpan di infrastruktur aman yang sama dengan yang digunakan Google untuk menyimpan kuncinya sendiri. Kunci dilindungi oleh Key Management Service Google. Jika Anda ingin mempelajari infrastruktur Google lebih lanjut, baca Laporan Resmi Keamanan Google Cloud.

Aplikasi Android ditandatangani dengan kunci pribadi. Untuk memastikan bahwa update aplikasi dapat dipercaya, setiap kunci pribadi memiliki sertifikat publik terkait yang digunakan perangkat dan layanan untuk memverifikasi bahwa update aplikasi tersebut berasal dari sumber yang sama. Perangkat hanya menerima update jika tanda tangannya sesuai dengan tanda tangan aplikasi yang terinstal. Dengan mengizinkan Google mengelola kunci penandatanganan aplikasi Anda, proses ini dapat menjadi lebih aman.

Catatan: Untuk aplikasi yang dibuat sebelum Agustus 2021, Anda masih dapat mengupload APK dan mengelola kunci sendiri, bukan menggunakan Penandatanganan Aplikasi Play dan memublikasikannya dengan Android App Bundle. Namun, jika keystore Anda hilang atau dibobol, Anda tidak akan dapat mengupdate aplikasi tanpa memublikasikan aplikasi baru dengan nama paket baru. Untuk aplikasi ini, Play merekomendasikan penggunaan Penandatanganan Aplikasi Play dan beralih ke app bundle.

Menyiapkan dan mengelola Penandatanganan Aplikasi Play

Jika aplikasi Anda belum menggunakan Penandatanganan Aplikasi Play, ikuti petunjuk di bawah ini.

Langkah 1: Buat kunci upload

  1. Buat kunci upload dengan mengikuti petunjuk ini.
  2. Tanda tangani app bundle dengan kunci upload.

Langkah 2: Siapkan rilis

  1. Ikuti petunjuk untuk mempersiapkan dan meluncurkan rilis Anda.
  2. Setelah memilih jalur rilis, bagian "Integritas aplikasi" akan menampilkan status Penandatanganan Aplikasi Play untuk aplikasi Anda.
  3. Untuk melanjutkan kunci penandatanganan aplikasi yang dibuat Google, upload app bundle Anda. Atau, Anda dapat memilih Ubah kunci penandatanganan aplikasi untuk mengakses opsi berikut:
    • Gunakan kunci penandatanganan aplikasi yang dibuat Google: Lebih dari 90% aplikasi baru menggunakan kunci penandatanganan aplikasi yang dibuat oleh Google. Menggunakan kunci yang dibuat oleh Google akan melindungi Anda dari kehilangan atau penyusupan (kunci tersebut tidak dapat didownload). Jika memilih opsi ini, Anda dapat mendownload APK distribusi dari Penjelajah app bundle yang ditandatangani dengan kunci yang dibuat oleh Google untuk saluran distribusi lain, atau menggunakan kunci yang berbeda untuk saluran tersebut.
    • Gunakan kunci penandatanganan aplikasi yang berbeda: Memilih kunci penandatanganan aplikasi memungkinkan Anda menggunakan kunci yang sama dengan aplikasi lain di akun developer Anda atau menyimpan salinan lokal kunci penandatanganan aplikasi Anda untuk peningkatan fleksibilitas. Misalnya, Anda mungkin sudah memiliki kunci yang ditetapkan karena aplikasi Anda sudah terinstal sebelumnya di beberapa perangkat. Memiliki salinan kunci di luar server Google akan meningkatkan risiko jika salinan lokal pernah disusupi. Anda memiliki opsi berikut terkait cara menggunakan kunci yang berbeda:
  4. Selesaikan petunjuk selanjutnya untuk mempersiapkan dan meluncurkan rilis Anda.

Catatan: Anda harus menyetujui Persyaratan Layanan dan ikut serta dalam penandatanganan aplikasi untuk melanjutkan.

Langkah 3: Daftarkan kunci penandatanganan aplikasi Anda ke penyedia API

Jika aplikasi Anda menggunakan API, biasanya Anda perlu mendaftarkan kunci penandatanganan aplikasi dengan API tersebut untuk tujuan autentikasi menggunakan sidik jari sertifikat. Berikut cara menemukan sertifikat ini:

  1. Buka Konsol Play, lalu buka halaman Penandatanganan Aplikasi Play (Uji dan rilis > Penyiapan > Penandatanganan aplikasi).
  2. Scroll ke bagian “Sertifikat kunci penandatanganan aplikasi”, lalu salin sidik jari (MD5, SHA-1, dan SHA-256) untuk sertifikat penandatanganan aplikasi Anda.
    • Jika penyedia API memerlukan jenis sidik jari yang berbeda, Anda juga dapat mendownload sertifikat asli dalam format .der dan mengonversinya menggunakan alat transformasi yang diperlukan oleh penyedia API.

Membuat kunci upload dan memperbarui keystore

Agar lebih aman, sebaiknya Anda menandatangani aplikasi dengan kunci upload yang baru, bukan dengan kunci penandatanganan aplikasi Anda.

Anda dapat membuat kunci upload saat memilih ikut serta dalam Penandatanganan Aplikasi Play, atau Anda dapat membuat kunci upload di lain waktu dengan membuka halaman Penandatanganan Aplikasi Play (Uji dan rilis > Penyiapan > Penandatanganan aplikasi).

Berikut cara membuat kunci upload:

  1. Ikuti petunjuk di situs Android Developers. Simpan kunci Anda di tempat yang aman.
  2. Ekspor sertifikat untuk kunci upload ke format PEM. Ganti argumen yang digarisbawahi berikut ini:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Ketika diminta saat proses rilis, upload sertifikat untuk mendaftarkannya ke Google.

Saat Anda menggunakan kunci upload:

  • Kunci upload Anda hanya terdaftar di Google untuk mengautentikasi identitas pembuat aplikasi.
  • Tanda tangan Anda akan dihapus dari APK yang diupload sebelum dikirim ke pengguna.

Mengupgrade kunci penandatanganan aplikasi

Bagian ini berisi petunjuk yang berkaitan dengan cara mengupgrade kunci penandatanganan aplikasi. Jika kunci upload hilang, Anda tidak perlu meminta upgrade kunci; lihat bagian Kunci upload hilang atau disusupi? di bagian bawah halaman ini.

Dalam beberapa situasi tertentu, Anda dapat meminta upgrade untuk kunci penandatanganan aplikasi.

Berikut adalah beberapa alasan untuk meminta upgrade kunci penandatanganan aplikasi:

  • Anda membutuhkan kunci yang lebih kuat secara kriptografis.
  • Kunci penandatanganan aplikasi Anda telah disusupi.

Penting: Upgrade kunci hanya didukung untuk aplikasi yang menggunakan app bundle.

Sebelum meminta upgrade kunci di Konsol Play, baca bagian Pertimbangan penting sebelum meminta upgrade kunci di bawah. Kemudian, Anda dapat meluaskan bagian lainnya di bawah untuk mempelajari lebih lanjut cara meminta upgrade kunci.

Praktik terbaik

  • Jika Anda juga mendistribusikan aplikasi di luar Google Play atau berencana menggunakannya nanti dan ingin menggunakan kunci penandatanganan yang sama, akan ada dua opsi: 
    • Anda dapat mengizinkan Google membuat kunci (direkomendasikan), lalu mendownload APK universal yang ditandatangani dari Penjelajah app bundle  untuk didistribusikan di luar Google Play.
    • Atau, Anda dapat membuat kunci penandatanganan aplikasi yang ingin digunakan untuk semua app store, lalu mentransfer salinannya ke Google saat Anda mengonfigurasi Penandatanganan Aplikasi Play.
  • Untuk melindungi akun Anda, aktifkan Verifikasi 2 Langkah untuk akun yang memiliki akses ke Konsol Play Anda.
  • Setelah memublikasikan app bundle ke jalur rilis, Anda dapat mengunjungi Penjelajah app bundle untuk mengakses APK yang dapat diinstal yang dibuat oleh Google dari app bundle Anda. Anda dapat:
    • Menyalin dan membagikan link berbagi aplikasi secara internal yang memungkinkan Anda menguji apa yang akan diinstal Google Play dari app bundle Anda di perangkat lain dengan sekali ketuk.
    • Mendownload APK universal yang ditandatangani. APK tunggal ini ditandatangani dengan kunci penandatanganan aplikasi yang dimiliki Google dan dapat diinstal pada perangkat apa pun yang didukung aplikasi Anda.
    • Mendownload file ZIP yang berisi semua APK untuk perangkat tertentu. APK ini ditandatangani dengan kunci penandatanganan aplikasi yang dimiliki Google. Anda dapat menginstal APK di arsip ZIP pada perangkat menggunakan perintah adb install-multiple *.apk.
  • Agar lebih aman, buat kunci upload baru yang berbeda dari kunci penandatanganan aplikasi Anda.
  • Jika Anda menggunakan Google API, sebaiknya daftarkan kunci upload dan sertifikat kunci penandatanganan aplikasi di Konsol Google Cloud untuk aplikasi Anda.
  • Jika menggunakan Link Aplikasi Android, pastikan Anda memperbarui kunci di file JSON Digital Asset Links yang sesuai di situs Anda.

Kunci upload hilang atau disusupi?

Jika kunci upload pribadi hilang atau disusupi, Anda dapat membuat yang baru. Kemudian, pemilik akun developer Anda dapat mulai mereset kunci di Konsol Play.

Setelah tim dukungan kami mendaftarkan kunci upload yang baru, pemilik akun dan admin global akan menerima pesan di Kotak Masuk beserta email yang berisi informasi lebih lanjut. Anda kemudian dapat memperbarui keystore dan mendaftarkan kunci Anda ke penyedia API.

Pemilik akun juga dapat membatalkan permintaan reset di Konsol Play.

Penting: Mereset kunci upload tidak memengaruhi kunci penandatanganan aplikasi yang digunakan Google Play untuk menandatangani ulang APK sebelum mengirimkannya kepada pengguna.

APK Signature Scheme v4

Perangkat Android 11 dan yang lebih baru mendukung APK signature scheme v4 baru. Penandatanganan Aplikasi Play menggunakan penandatanganan v4 untuk aplikasi yang memenuhi syarat agar aplikasi dapat mengakses fitur distribusi yang dioptimalkan dan tersedia di perangkat yang lebih baru. Tidak ada tindakan yang diperlukan dari developer dan diperkirakan tidak ada dampak terhadap pengguna dari penandatanganan v4.

Konten terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

6706711366553580578
true
Pusat Bantuan Penelusuran
true
true
true
true
true
92637
false
false
false
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama