Play アプリ署名を使用する

このプロセスの仕組みは次のとおりです。

1. App Bundle に署名し、Google Play Console にアップロードします。
2. Google は App Bundle から最適化された APK を生成し、アプリ署名鍵を使用して署名します。
3. Google は apksigner を使用して、アプリのマニフェストに 2 つのスタンプ（com.android.stamp.source と com.android.stamp.type）を追加し、アプリ署名鍵を使用して APK に署名します。apksigner によって追加されたスタンプを使用することで、APK をトレースして署名者を把握できます。
4. 署名された APK を Google がユーザーに配信します。

Google が生成した鍵を使用する場合、4,096 ビットの暗号的に強力な RSA 鍵が自動的に生成されます。独自のアプリ署名鍵をアップロードすることを選択した場合は、2,048 ビット以上の RSA 鍵を使用する必要があります。

ステップ 1: Play アプリ署名を設定する

1. Google Play Console を開き、[Play アプリ署名] ページ（[

   テストとリリース

   ] > [設定] > [アプリの署名]）に移動します。
   • ヒント: このページには [アプリの完全性] ページ（[

     テストとリリース

     ] > [アプリの完全性]）からアクセスすることもできます。[アプリの完全性] ページには、アプリやゲームで意図したとおりのユーザー エクスペリエンスを実現するための完全性と署名のサービスが含まれています。
2. Play アプリ署名の利用規約に同意していない場合は、内容を確認して [同意する] を選択します。

ステップ 2: 元の鍵のコピーを Google に送信してアップロード鍵を作成する

1. 元のアプリ署名鍵の場所を確認します。
2. Google Play Console を開き、[Play アプリ署名] ページ（[

   テストとリリース

   ] > [設定] > [アプリの署名]）に移動します。
3. リリース プロセスに最適なエクスポートとアップロードのオプションを選択し、既存のアプリ署名鍵をアップロードします。

ステップ 3: アップロード鍵を作成する（省略可、推奨）

1. アップロード鍵を作成し、Google Play に証明書をアップロードします。
   • アプリ署名鍵をアップロード鍵として引き続き使用することもできます。
2. アプリ署名証明書のフィンガープリント（MD5、SHA-1、SHA-256）をコピーします。
   • テストを行うには、証明書のフィンガープリントとアプリ署名鍵を使用して、アップロード鍵の証明書を API プロバイダに登録することが必要な場合があります。

ステップ 4: 次のアプリのアップデートにアップロード鍵で署名する

アプリのアップデートをリリースするには、アップロード鍵でアップデートに署名する必要があります。

• 新しいアップロード鍵を生成していない場合: 引き続き元のアプリ署名鍵を使用して App Bundle に署名し、Google Play にアップロードします。元のアプリ署名鍵を紛失した場合は、新しいアップロード鍵を生成して Google に登録し、アプリの更新を続行できます。
• 新しいアップロード鍵を生成した場合: 新しいアップロード鍵を使用して App Bundle に署名し、Google Play にアップロードします。Google はアップロード鍵を使用して、デベロッパーの本人確認を行います。アップロード鍵を紛失した場合は、サポートに連絡してリセットすることができます。

既存の鍵を共有できない場合は、この手順をおすすめします。登録するアプリ署名鍵をアップグレードする前に、以下の点にご注意ください。

• この方法では、デュアル リリースが必要です。
• 各リリースで以前の鍵を使って署名した App Bundle と APK をアップロードする必要があります。Google Play はその App Bundle を使用して、Android R*（API レベル 30）以降を搭載したデバイス用に、新しい鍵を使って署名した APK を生成します。以前の APK は、古い Android リリース（API レベル 29 まで）に使用されます。

*アプリで sharedUserId を使用している場合は、Android T（API レベル 33）以降を搭載しているデバイスでのインストールとアップデートに鍵のアップグレードを適用することをおすすめします。これを設定するには、バンドルの構成で最小 SDK バージョンを正確に設定してください。

ステップ 1: 新しい鍵をアップロードし、proof-of-rotation を生成してアップロードする

Android デバイスで新しい鍵が信頼されるようにするには、リポジトリから新しい署名鍵をアップロードし、proof-of-rotation を生成してアップロードする必要があります。

1. Google Play Console を開き、[Play アプリ署名] ページ（[

   テストとリリース

   ] > [設定] > [アプリの署名]）に移動します。
   • ヒント: このページには [アプリの完全性] ページ（[

     テストとリリース

     ] > [アプリの完全性]）からアクセスすることもできます。[アプリの完全性] ページには、アプリやゲームで意図したとおりのユーザー エクスペリエンスを実現するための完全性と署名のサービスが含まれています。
2. [アプリの署名] タブを選択します。
3. [詳細オプションを表示] をクリックし、[新しいアプリ署名鍵を使用する（デュアル リリースを行っていることが必要）] を選択します。
4. デベロッパー アカウントの別のアプリと同じアプリ署名鍵を使用するか、Android Studio、Java KeyStore、または別のリポジトリから新しいアプリ署名鍵をアップロードするかを選択します。
5. 画面上の手順に沿って PEPK ツールをダウンロードして実行します。
6. ZIP の準備が整ったら、[生成された ZIP ファイルをアップロード] をクリックして Google Play Console にアップロードします。
7. [5. proof-of-rotation をアップロードすることで、Android デバイスで新しい鍵を信頼できるようになります] の横にある [手順を表示] をクリックします。
8. APKSigner をダウンロードし、次のコマンドを実行して proof-of-rotation を生成します。
   • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
9. [生成された proof-of-rotation ファイルをアップロード] をクリックし、ステップ 8 で生成した proof-of-rotation をアップロードします。
10. [保存] をクリックします。

• 2,048 ビット以上の RSA 鍵であること。

アップロード鍵を作成した後、以下の場所の確認と更新が必要になることがあります。

• ローカルマシン
• ロックされたオンサイト サーバー（各種 ACL）
• クラウドマシン（各種 ACL）
• 専用の秘密管理サービス
• （Git）リポジトリ

鍵のアップグレードをリクエストする前に、アップグレードの完了後に行う必要のある変更について理解しておくことが重要です。

• アプリ間でコードやデータを共有するために複数のアプリで同じアプリ署名鍵を使用している場合は、新旧両方のアプリ署名鍵の証明書を認識するようにアプリを更新する必要があります。Android S（API レベル 32）以前を搭載しているデバイスでは、以前のアプリ署名鍵の証明書のみが、データ/コードの共有を目的として Android プラットフォームによって認識されます。
• アプリで API を使用している場合は、アップデートを公開する前に、新旧両方のアプリ署名鍵の証明書を API プロバイダに登録して、API が引き続き動作するようにしてください。証明書は Google Play Console の [Play アプリ署名] ページ（[

  テストとリリース

  ] > [設定] > [アプリの署名]）で確認できます。 
• ユーザーがピアツーピア共有でアップデートをインストールする場合、そのユーザーがインストールできるのは、インストール済みのアプリのバージョンと同じ鍵で署名されたアップデートのみとなります。異なる鍵で署名されたバージョンのアプリをインストールしているためにアプリを更新できない場合は、アプリをアンインストールしてから再インストールして、アップデートを取得するという方法があります。

各アプリは、Android N（API レベル 24）以降でのすべてのインストール用に、毎年 1 回アプリ署名鍵をアップグレードできます。

この鍵のアップグレード リクエストが完了すると、すべてのインストールとアプリのアップデートの署名に新しい鍵が使用されます。Android T（API レベル 33）以降を搭載したデバイスでは、アップグレードされた鍵の使用が Android プラットフォームによって強制されます。Android S（API レベル 32）以前を搭載したデバイスでは、Android プラットフォームはこのアップグレードされた鍵の使用を強制せず、以前の署名鍵をアプリの署名鍵として認識します。これには、アプリの署名キーに依存する Android プラットフォーム機能（カスタム権限の共有など）も含まれます。Android N（API レベル 24）から Android S（API レベル 32）までのいずれかを搭載したデバイスでは、ユーザーが設定をオフにしない限り、アップグレードされた鍵でアプリ アップデートが署名されていることを Google Play プロテクトが確認します。Android S（API レベル 32）以前を搭載したデバイスでは、アップグレードされた鍵の使用が Android プラットフォームによって強制されないため、これによって追加の検証が行われます。

1. Google Play Console を開き、[Play アプリ署名] ページ（[

   テストとリリース

   ] > [設定] > [アプリの署名]）に移動します。
   • ヒント: このページには [アプリの完全性] ページ（[

     テストとリリース

     ] > [アプリの完全性]）からアクセスすることもできます。[アプリの完全性] ページには、アプリやゲームで意図したとおりのユーザー エクスペリエンスを実現するための完全性と署名のサービスが含まれています。
2. [アプリ署名鍵のアップグレード] カードで、[鍵のアップグレードをリクエスト] を選択します。
3. Android N 以降でのすべてのインストールに対してアプリ署名鍵をアップグレードするオプションを選択します。
4. Google で新しいアプリ署名鍵を生成するか（推奨）、アプリ署名鍵をアップロードします。
   • アプリ署名鍵とアップロード鍵に同じ鍵を使用していた場合は、アプリ署名鍵をアップグレードした後、これまでのアプリ署名鍵をアップロード鍵として使い続けるか、新しいアップロード鍵を生成することができます。
5. アプリ署名鍵のアップグレードをリクエストする理由を選択します。
6. 必要に応じて、API プロバイダに新しいアプリ署名鍵を登録します。

ヒント: アプリを複数の配信チャネルで配信している場合、ユーザーのためにアプリのアップデートの互換性を最大限に確保するには、各配信チャネルで鍵をアップグレードすることをおすすめします。Google Play の鍵のアップグレードに対応するには、Android SDK ビルドツール（リビジョン 33.0.1 以降）にバンドルされている ApkSigner ツールを使用します。

$ apksigner sign --in ${INPUT_APK}

--out ${OUTPUT_APK}

--ks ${ORIGINAL_KEYSTORE}

--ks-key-alias ${ORIGINAL_KEY_ALIAS}

--next-signer --ks ${UPGRADED_KEYSTORE}

--ks-key-alias ${UPGRADED_KEY_ALIAS}

--lineage ${LINEAGE}

詳しくは、アプリのアップデートの仕組みをご覧ください。