Cu Semnarea aplicațiilor Play, Google îți gestionează și protejează cheia de semnare a aplicațiilor și o folosește pentru a semna APK-uri de distribuire optimizate, generate pe baza app bundle-urilor tale. Semnarea aplicațiilor Play stochează cheia de semnare a aplicațiilor în infrastructura securizată de la Google și oferă opțiuni de upgrade pentru a spori securitatea.
Pentru a folosi Semnarea aplicațiilor Play, trebuie să fii proprietarul contului sau utilizator cu permisiunea Lansează versiuni, exclude dispozitive și folosește Semnarea aplicațiilor Play și să accepți Termenii și condițiile pentru Semnarea aplicațiilor Play.
Cum funcționează
Când folosești Semnarea aplicațiilor Play, cheile sunt stocate pe aceeași infrastructură securizată folosită de Google pentru cheile sale. Cheile sunt protejate de Serviciul de gestionare a cheilor de la Google. Dacă dorești să afli mai multe despre infrastructura Google, citește documentația privind securitatea Google Cloud.
Aplicațiile Android sunt semnate cu o cheie privată. Pentru a se asigura că actualizările aplicațiilor sunt de încredere, fiecare cheie privată are un certificat public asociat pe care dispozitivele și serviciile îl folosesc ca să verifice dacă actualizarea aplicației provine din aceeași sursă. Dispozitivele acceptă actualizările numai dacă semnătura corespunde semnăturii aplicației instalate. Dacă permiți ca Google să îți gestioneze cheia de semnare a aplicațiilor, acest proces devine mai sigur.
Notă: în cazul aplicațiilor create înainte de august 2021, poți în continuare să încarci un APK și să îți gestionezi cheile în loc să folosești Semnarea aplicațiilor Play și să publici cu un Android App Bundle. Însă, dacă îți pierzi directorul de chei sau dacă acesta este compromis, nu vei putea actualiza aplicația fără să publici una nouă, cu un nume de pachet nou. Pentru aceste aplicații, Play recomandă să folosești Semnarea aplicațiilor Play și să treci la app bundle-uri.
| Termen |
Descriere |
| Cheie de semnare a aplicațiilor |
Cheia folosită de Google Play pentru a semna APK-urile trimise pe dispozitivul utilizatorului. Când folosești Semnarea aplicațiilor Play, poți să încarci o cheie de semnare a aplicațiilor existentă sau să alegi ca Google să genereze una pentru tine.
Cheia de semnare a aplicațiilor trebuie să rămână secretă, dar poți trimite altor persoane certificatul public al aplicației.
|
| Cheie de încărcare |
Cheia pe care o folosești pentru a semna app bundle-ul înainte de încărcarea pe Google Play. Cheia de încărcare trebuie să rămână secretă, dar poți trimite altor persoane certificatul public al aplicației. Din motive de securitate, îți recomandăm să ai chei de semnare a aplicațiilor și chei de încărcare diferite.
Există două modalități de a genera o cheie de încărcare:
- folosește cheia de semnare a aplicațiilor: dacă alegi ca Google să genereze cheia de semnare a aplicațiilor, cheia pe care o folosești pentru prima versiune este desemnată drept cheie de încărcare;
- folosește o cheie de încărcare separată: dacă introduci propria cheie de semnare a aplicațiilor, ai opțiunea de a genera o nouă cheie de încărcare, pentru securitate sporită. Dacă nu generezi o cheie, folosește cheia de semnare a aplicațiilor drept cheie de încărcare pentru a semna versiunile.
|
Certificat (.der sau .pem) |
Un certificat conține o cheie publică și informații suplimentare de identificare despre proprietarul cheii. Certificatul de cheie publică permite oricui să verifice cine a semnat app bundle-ul sau APK-ul și îl poți trimite oricui, deoarece nu include cheia privată.
Pentru a înregistra cheile la furnizorii API-urilor, poți descărca certificatul public pentru cheia de semnare a aplicațiilor și cheia de încărcare din pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor) în Play Console. Certificatul de cheie publică poate fi trimis oricui. Acesta nu include cheia ta privată.
|
| Amprenta digitală a certificatului |
Identificator scurt și unic al unui certificat, care este adesea solicitat de furnizorii API-urilor, împreună cu numele pachetului, pentru înregistrarea unei aplicații care să folosească serviciile acestora.
Amprentele MD5, SHA-1 și SHA-256 ale certificatelor de încărcare și de semnare a aplicațiilor se găsesc în pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor) în Play Console. Alte amprente digitale pot fi identificate prin descărcarea certificatului original (.der) din aceeași pagină. |
Directorul de chei Java (.jks sau .keystore) |
Depozit de certificate de securitate și chei private. |
| Instrumentul Play Encrypt Private Key (PEPK) |
Instrument pentru exportul cheilor private dintr-un director de chei Java și pentru criptarea lor în vederea transferului pe Google Play.
Atunci când introduci cheia de semnare a aplicațiilor pentru a fi utilizată de Google, selectează opțiunea de a exporta și încărca cheia (și certificatul public asociat, dacă este necesar) și urmează instrucțiunile pentru a descărca și folosi instrumentul. Dacă preferi, poți să descarci, să examinezi și să folosești codul open source al instrumentului PEPK.
|
Iată cum funcționează procesul:
- semnează app bundle-ul și încarcă-l în Play Console;
- Google generează APK-uri optimizate folosind app bundle-ul și le semnează cu cheia de semnare a aplicațiilor;
- Google folosește apksigner pentru a adăuga două marcaje în manifestul aplicației (
com.android.stamp.source și com.android.stamp.type) și semnează APK-urile cu cheia de semnare a aplicațiilor. Marcajele adăugate de apksigner fac posibilă urmărirea APK-urilor de către persoanele care le-au semnat.
- Google trimite APK-urile semnate utilizatorilor.
Configurează și gestionează Semnarea aplicațiilor Play
Dacă aplicația ta nu folosește încă Semnarea aplicațiilor Play, urmează instrucțiunile de mai jos.
Pasul 1: creează o cheie de încărcare
- Creează o cheie de încărcare urmând instrucțiunile.
- Semnează app bundle-ul cu cheia de încărcare.
Pasul 2: pregătește lansarea
- Urmează instrucțiunile pentru pregătirea și lansarea versiunii.
- După ce selectezi canalul de lansare, secțiunea Integritatea aplicației afișează starea Semnării aplicațiilor Play pentru aplicația ta.
- Pentru a continua cu o cheie de semnare a aplicațiilor generată de Google, încarcă app bundle-ul. Sau selecteazâ Schimbă cheia de semnare a aplicațiilor pentru a accesa următoarele opțiuni:
- folosește o cheie de semnare a aplicațiilor generată de Google: peste 90 % dintre aplicațiile noi folosesc chei de semnare a aplicațiilor generate de Google. Folosirea unei chei generate de Google te protejează împotriva pierderii sau a compromiterii (cheia nu poate fi descărcată). Dacă alegi această opțiune, poți să descarci APK-urile de distribuire din Explorator app bundle, semnate cu cheia generată de Google pentru alte canale de distribuire sau să folosești o altă cheie pentru acestea.
- folosește o altă cheie de semnare a aplicațiilor: dacă alegi cheia de semnare a aplicațiilor, poți să folosești aceeași cheie ca pentru o altă aplicație din contul tău de dezvoltator sau să păstrezi o copie locală a cheii de semnare a aplicațiilor, pentru mai multă flexibilitate. De exemplu, este posibil să ai deja o cheie stabilită, deoarece aplicația ta este preinstalată pe anumite dispozitive. Păstrarea unei copii a cheii în afara serverelor Google crește riscul în cazul în care copia locală este compromisă. Ai următoarele opțiuni pentru folosirea unei alte chei:
- parcurge restul instrucțiunilor pentru pregătirea și lansarea versiunii.
Notă: pentru a continua, trebuie să accepți Termenii și condițiile și să te înscrii pentru semnarea aplicațiilor.
Pasul 3: înregistrează cheia de semnare a aplicației la furnizorii API-urilor
Dacă aplicația folosește API-uri, va trebui, de obicei, să înregistrezi cheia de semnare a aplicațiilor în scopul autentificării, folosind amprenta digitală a certificatului. Iată unde poți găsi certificatul:
- Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
- derulează la secțiunea Certificatul cheii de semnare a aplicațiilor și copiază amprentele (MD5, SHA-1 și SHA-256) certificatului de semnare a aplicațiilor;
- dacă pentru furnizorul API-ului este necesar alt tip de amprentă digitală, poți să descarci certificatul original în format
.der și să îl procesezi folosind instrumentele de transformare necesare pentru furnizorul API-ului.
Atunci când folosești o cheie generată de Google, Google generează automat o cheie RSA puternică din punct de vedere criptografic, care are 4096 de biți. Dacă alegi să încarci propria cheie de semnare a aplicațiilor, aceasta trebuie să fie o cheie RSA de 2048 de biți sau mai mult.
Pasul 1: configurează Semnarea aplicațiilor Play
- Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
- Consultă Termenii și condițiile pentru Semnarea aplicațiilor Play și selectează Accept dacă nu ai făcut-o deja.
Pasul 2: trimite o copie a cheii inițiale la Google și creează o cheie de încărcare
- Găsește cheia inițială pentru semnarea aplicațiilor.
- Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
- Selectează opțiunea de export și de încărcare cea mai potrivită pentru procesul tău de lansare și încarcă o cheie existentă de semnare a aplicațiilor.
Pasul 3: creează o cheie de încărcare (opțional și recomandat)
- Creează o cheie de încărcare și încarcă certificatul pe Google Play.
- Poți să continui să folosești cheia de semnare a aplicațiilor drept cheie de încărcare.
- copiază amprentele digitale (MD5, SHA-1 și SHA-256) ale certificatului de semnare a aplicațiilor.
- Pentru testare poate fi necesar să înregistrezi certificatul cheii de încărcare la furnizorii API-urilor folosind amprenta digitală a certificatului și cheia de semnare a aplicațiilor.
Pasul 4: semnează următoarea actualizare a aplicației folosind cheia de încărcare
Când lansezi actualizări pentru aplicație, trebuie să le semnezi cu cheia de încărcare.
- Dacă nu ai generat o cheie de încărcare nouă: continuă să folosești cheia inițială de semnare a aplicațiilor pentru a semna app bundle-urile înainte să le încarci pe Google Play. Dacă pierzi cheia inițială de semnare a aplicațiilor, poți să generezi o nouă cheie de încărcare și să o înregistrezi la Google pentru a continua actualizarea aplicației.
- Dacă ai generat o nouă cheie de încărcare: folosește-o pentru a semna app bundle-urile înainte să le încarci pe Google Play. Google folosește cheia de încărcare ca să-ți confirme identitatea. Dacă pierzi cheia de încărcare, contactează asistența pentru a o reseta.
Îți recomandăm să faci acest lucru dacă nu poți trimite cheia existentă. Înainte de a alege să faci upgrade cheii de semnare a aplicațiilor pentru a te înregistra, reține că:
- această opțiune va necesita o versiune dublă;
- va trebui să încarci un app bundle și un APK semnat cu cheia veche în fiecare versiune. Google Play va folosi app bundle-urile pentru a genera APK-uri semnate cu noua cheie pentru dispozitive pe Android R* (nivelul API 30) sau o versiune ulterioară. APK-urile vechi vor fi folosite pentru versiunile Android mai vechi (până la nivelul API 29).
*Dacă aplicația ta folosește sharedUserId, este recomandat să aplici upgrade-ul cheii pentru instalări și actualizări pe dispozitivele care rulează Android T (nivelul API 33) sau o versiune ulterioară. Pentru a configura această opțiune, setează o versiune minimă corectă a SDK-ului în configurația bundle-ului.
Pasul 1: încarcă noua cheie și generează și încarcă dovada rotirii
Pentru ca noua cheie să fie de încredere pe dispozitivele Android, trebuie să încarci o nouă cheie de semnare dintr-un director și să generezi și să încarci dovada rotirii:
- Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
- selectează fila Semnarea aplicațiilor;
- dă clic pe Afișează opțiunile avansate și selectează Folosește o nouă cheie de semnare a aplicațiilor (necesită lansări duble continue);
- alege să folosești aceeași cheie de semnare a aplicațiilor ca altă aplicație din contul tău de dezvoltator sau să încarci o nouă cheie de semnare a aplicațiilor din Android Studio, Java KeyStore sau din alt director;
- urmând instrucțiunile de pe ecran, descarcă și rulează instrumentul PEPK;
- când fișierul ZIP este gata, dă clic pe Încarcă fișierul ZIP generat și încarcă-l în Play Console;
- lângă 5. Permite ca noua cheie să fie de încredere pe dispozitivele Android încărcând dovada rotirii, dă clic pe Afișează instrucțiunile;
- descarcă APKSigner și generează dovada rotirii rulând această comandă:
$ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
- dă clic pe Încarcă fișierul de dovadă a rotirii și încarcă dovada rotirii generată la pasul 8;
- dă clic pe Salvează.
Creează o cheie de încărcare și actualizează directoarele de chei
Pentru securitate sporită, îți recomandăm să semnezi aplicația cu o nouă cheie de încărcare în locul cheii de semnare a aplicațiilor.
Poți să creezi o cheie de încărcare când te înscrii pentru Semnarea aplicațiilor Play sau să creezi mai târziu o cheie de încărcare accesând pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
Iată cum să creezi o cheie de încărcare:
- urmează instrucțiunile de pe site-ul Android Developers; Păstrează cheia într-un loc sigur.
- exportă certificatul pentru cheia de încărcare în format PEM; înlocuiește următoarele argumente subliniate:
$ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem;
-
atunci când ți se solicită în timpul procesului de lansare, încarcă certificatul pentru a-l înregistra la Google.
Când folosești o cheie de încărcare:
- cheia ta de încărcare este înregistrată numai la Google pentru a autentifica identitatea creatorului aplicației;
- semnătura ta este eliminată din orice APK încărcat înainte de a fi trimis utilizatorilor.
- Trebuie să fie o cheie RSA de 2048 de biți sau mai mult.
Iată câteva locații pe care ți recomandăm să le verifici și actualizezi după ce creezi o cheie de încărcare:
- dispozitive locale,
- server fizic securizat (liste ACL variabile),
- computer în cloud (liste ACL variabile);
- servicii dedicate de gestionare a codurilor secrete;
- directoare (Git).
Actualizează cheia de semnare a aplicațiilor
Această secțiune conține instrucțiuni pentru actualizarea cheii de semnare a aplicațiilor. Dacă ai pierdut cheia de încărcare, nu este nevoie să soliciți actualizarea acesteia. Consultă secțiunea
Cheia de încărcare a fost pierdută sau compromisă? din partea de jos a acestei pagini.
În anumite situații, poți solicita o actualizare a cheii de semnare a aplicațiilor.
Iată câteva motive pentru a solicita o actualizare a cheii de semnare a aplicațiilor:
- ai nevoie de o cheie mai puternică din punct de vedere criptografic;
- cheia de semnare a aplicațiilor a fost compromisă.
Important: upgrade-urile pentru chei sunt acceptate numai pentru aplicațiile care folosesc app bundle-uri.
Înainte de a solicita actualizarea cheii în Play Console, citește secțiunea Aspecte importante înainte de a solicita o actualizare a cheii de mai jos. Apoi poți extinde celelalte secțiuni de mai jos pentru a afla mai multe despre solicitarea actualizării cheii.
Înainte de a solicita o actualizare a cheii, este important să înțelegi schimbările pe care poate fi nevoie să le faci după finalizarea actualizării.
- Dacă folosești aceeași cheie de semnare a aplicațiilor în mai multe aplicații pentru a trimite date / cod între acestea, trebuie să îți actualizezi aplicațiile, astfel încât să recunoască atât certificatele noi ale cheii de semnare, cât și pe cele vechi. Pe dispozitivele care rulează Android S (nivelul API 32) sau o versiune anterioară, numai certificatul vechi al cheii de semnare a aplicațiilor este recunoscut de platforma Android în scopul trimiterii datelor/codului.
- Dacă aplicația ta folosește API-uri, înregistrează certificatele pentru noua și vechea cheie de semnare a aplicațiilor la furnizorii API-urilor înainte de a publica o actualizare, ca să te asiguri că API-urile vor funcționa în continuare. Certificatele sunt disponibile în pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor) din Play Console.
- Dacă oricare dintre utilizatori instalează actualizări prin distribuire peer-to-peer, va putea instala actualizările care sunt semnate cu aceeași cheie precum versiunea aplicației tale pe care a instalat-o deja. Dacă nu își pot actualiza aplicația deoarece au o versiune a aplicației tale care este semnată cu o cheie diferită, au opțiunea de a dezinstala și reinstala aplicația pentru a obține actualizarea.
Fiecare aplicație poate avea cheia de semnare a aplicațiilor actualizată pentru toate instalările de pe Android N (nivelul API 24) și versiunile ulterioare o singură dată pe an.
Dacă soliciți această actualizare a cheii, noua cheie va fi folosită pentru a semna toate instalările și actualizările de aplicații. Pe dispozitivele Android care rulează Android T (nivelul API 33) și versiunile ulterioare, platforma Android aplică folosirea cheii actualizate. Pe dispozitivele care rulează Android S (nivelul API 32) sau versiuni anterioare, platforma Android nu aplică folosirea acestei chei actualizate și recunoaște în continuare cheia de semnare veche drept cheie de semnare a aplicațiilor. Aici sunt incluse și funcțiile platformei Android (de exemplu, permiterea personalizată a accesului la permisiuni) care se bazează pe cheia de semnare a aplicației. Pe dispozitivele care rulează Android N (nivelul API 24) până la Android S (nivelul API 32), Google Play Protect va verifica dacă actualizările aplicațiilor sunt semnate cu cheia actualizată, cu excepția cazului în care utilizatorul le dezactivează. Astfel, se oferă o validare suplimentară, deoarece platforma Android nu aplică folosirea cheii actualizate pe dispozitivele care rulează Android S (nivelul API 32) sau versiuni anterioare.
- Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Testează și lansează
> Configurare > Semnarea aplicațiilor).
- În cardul Actualizează cheia de semnare a aplicațiilor, selectează Solicită actualizarea cheii.
- Selectează o opțiune pentru a actualiza cheia de semnare a aplicațiilor pentru toate instalările de pe Android N și versiunile ulterioare.
- Alege ca Google să genereze o nouă cheie de semnare a aplicațiilor (opțiune recomandată) sau încarcă una.
- După actualizarea cheii de semnare a aplicațiilor, dacă foloseai aceeași cheie pentru semnarea aplicațiilor drept cheie de încărcare, poți să folosești în continuare vechea cheie pentru semnarea aplicațiilor drept cheie de încărcare sau să generezi una nouă.
- Selectează un motiv pentru solicitarea actualizării cheii de semnare a aplicațiilor.
- Dacă este necesar, înregistrează noua cheie de semnare a aplicațiilor la furnizorii API-urilor.
Sfat: dacă distribui aplicația pe mai multe canale de distribuire și dorești să maximizezi compatibilitatea cu actualizările aplicației pentru utilizatori, trebuie să faci upgrade cheii pe fiecare canal de distribuire. Pentru compatibilitate cu upgrade-ul cheii Google Play, folosește instrumentul ApkSigner, inclus în Android SDK Build Tools (versiunea 33.0.1+):
$ apksigner sign --in ${INPUT_APK}
--out ${OUTPUT_APK}
--ks ${ORIGINAL_KEYSTORE}
--ks-key-alias ${ORIGINAL_KEY_ALIAS}
--next-signer --ks ${UPGRADED_KEYSTORE}
--ks-key-alias ${UPGRADED_KEY_ALIAS}
--lineage ${LINEAGE}
Află mai multe despre cum funcționează actualizările aplicațiilor.
Recomandări
- Dacă distribui aplicația și în afara serviciului Google Play sau intenționezi să faci acest lucru în viitor și dorești să folosești aceeași cheie de semnare, ai două opțiuni:
- permite ca Google să genereze cheia (recomandat), apoi descarcă un APK universal semnat din Explorator app bundle, pentru a-l distribui în afara serviciului Google Play;
- generează cheia de semnare a aplicațiilor pe care dorești să o folosești pentru toate magazinele de aplicații, apoi trimite o copie a acesteia la Google când configurezi Semnarea aplicațiilor Play.
- Pentru a-ți proteja contul, activează Verificarea în doi pași pentru conturile care au acces la Play Console.
- După publicarea unui app bundle pe un canal de lansare, poți folosi Explorator app bundle pentru a accesa APK-urile care se pot instala generate de Google pe baza app bundle-ului tău. Poți:
- să copiezi și să trimiți un link de trimitere internă a aplicațiilor care îți dă posibilitatea să testezi, printr-o singură atingere, elementele care ar fi instalate de Google Play din app bundle pe diferite dispozitive;
- să descarci un APK universal semnat. Acest APK unic este semnat cu cheia de semnare a aplicațiilor deținută de Google și poate fi instalat pe orice dispozitiv acceptat de aplicație.
- să descarci o arhivă ZIP cu toate APK-urile pentru un anumit dispozitiv. APK-urile respective sunt semnate cu cheia de semnare a aplicațiilor deținută de Google. Poți instala APK-urile din arhiva ZIP de pe un dispozitiv folosind comanda
adb install-multiple *.apk.
- Pentru securitate sporită, generează o nouă cheie de încărcare diferită de cheia de semnare a aplicațiilor.
- Dacă folosești un API Google, îți recomandăm să înregistrezi certificatele cheilor de încărcare și de semnare a aplicațiilor în Google Cloud Console pentru aplicația ta.
- Dacă folosești Linkuri spre aplicații Android, actualizează cheile în fișierul JSON Digital Asset Links corespunzător din site.
Dacă ai pierdut cheia de încărcare privată sau dacă aceasta a fost compromisă, poți să creezi una nouă. Proprietarul contului tău de dezvoltator poate iniția resetarea cheii în Play Console.
După ce echipa de asistență înregistrează noua cheie de încărcare, proprietarul contului și administratorii globali vor primi un mesaj în inbox și un e-mail cu informații suplimentare. Apoi vei putea să actualizezi directoarele de chei și să-ți înregistrezi cheia la furnizorii API-urilor.
Proprietarul contului poate și să anuleze solicitarea de resetare în Play Console.
Important: resetarea cheii de încărcare nu va afecta cheia de semnare a aplicațiilor pe care Google Play o folosește pentru a semna din nou APK-urile înainte de a le trimite utilizatorilor.
Dispozitivele Android 11 sau versiunile ulterioare acceptă noua schemă de semnături APK v4. Semnarea aplicațiilor Play folosește semnarea v4 pentru aplicațiile eligibile pentru ca acestea să poată accesa funcțiile de distribuire optimizate disponibile pe dispozitivele mai noi. Nu este necesară nicio acțiune din partea dezvoltatorului și nu se așteaptă niciun impact asupra utilizatorilor în urma semnării v4.
Conținut conex