App-Signatur von Google Play verwenden

Mit der App-Signatur von Google Play verwaltet und schützt Google den Signaturschlüssel Ihrer App und verwendet ihn zum Signieren Ihrer APKs für den Vertrieb. Dies ist eine sichere Methode zum Speichern Ihres App-Signaturschlüssels, wenn Sie ihn einmal verlieren sollten oder er manipuliert wurde.

Wichtig: Damit Sie das empfohlene App-Veröffentlichungsformat Android App Bundles verwenden können, müssen Sie sich vor dem Hochladen des App Bundles für die App-Signatur von Google Play anmelden.

Sie müssen außerdem Kontoinhaber oder Nutzer mit der globalen Berechtigung "Produktions-Releases verwalten" sein und den Nutzungsbedingungen zustimmen, um sich anmelden zu können. Beachten Sie, dass Sie Apps nur einzeln bei der App-Signatur von Google Play anmelden können.

So funktioniert die App-Signatur

Wenn Sie die App-Signatur von Google Play verwenden, werden die Schlüssel in derselben Infrastruktur gespeichert, die Google für seine eigenen Schlüssel nutzt. Schlüssel sind durch den Key Management Service von Google geschützt. Weitere Informationen zur technischen Infrastruktur von Google finden Sie in den Whitepapers zur Sicherheit in der Google Cloud.

Android-Apps sind mit einem privaten Schlüssel signiert. Damit gewährleistet werden kann, dass App-Updates sicher sind, ist jedem privaten Schlüssel ein öffentliches Zertifikat zugeordnet. Mit diesem können Geräte und Dienste überprüfen, ob die App von einer vertrauenswürdigen Quelle stammt. Geräte akzeptieren nur dann Updates, wenn ihre Signatur mit der Signatur der installierten App übereinstimmt. Wenn Google Ihren App-Signaturschlüssel verwaltet, wird dieser Prozess sicherer.

Hinweis: Die App-Signatur von Google Play ist optional. Sie können weiterhin ein APK hochladen und Ihre eigenen Schlüssel verwalten, anstatt ein App Bundle zu verwenden. Falls Sie Ihren Schlüsselspeicher jedoch verlieren oder er manipuliert wird, können Sie Ihre App nicht mehr aktualisieren und müssen eine neue App mit neuem Paketnamen veröffentlichen.

Beschreibungen der Schlüssel, Artefakte und Tools
Begriff Beschreibung
App-Signaturschlüssel

Der Schlüssel, den Google Play zum Signieren der APKs verwendet, die an das Gerät eines Nutzers gesendet werden. Bei der Anmeldung für die App-Signatur von Google Play können Sie entweder einen vorhandenen App-Signaturschlüssel hochladen oder von Google Play einen Schlüssel generieren lassen.

Der App-Signaturschlüssel darf sich über die gesamte Lebensdauer Ihrer App hinweg nicht ändern. Halten Sie Ihren App-Signaturschlüssel geheim. Das öffentliche Zertifikat Ihrer App kann dagegen beliebig geteilt werden.

Uploadschlüssel

Der Schlüssel, den Sie zum Signieren Ihres App Bundles oder APKs verwenden, bevor Sie es bei Google Play hochladen. Halten Sie Ihren Uploadschlüssel geheim. Das öffentliche Zertifikat Ihrer App kann dagegen beliebig geteilt werden. Aus Sicherheitsgründen ist es ratsam, dass sich App-Signatur- und Uploadschlüssel voneinander unterscheiden.

Es gibt zwei Möglichkeiten, einen Uploadschlüssel zu generieren:

  • App-Signaturschlüssel verwenden: Wenn Sie einen App-Signaturschlüssel bei der Anmeldung von Google generieren lassen, wird der Schlüssel, den Sie für Ihren ersten Release verwenden, als Uploadschlüssel festgelegt.
  • Einen separaten Uploadschlüssel verwenden: Wenn Sie bei der Anmeldung einen eigenen App-Signaturschlüssel hochladen, können Sie einen neuen Uploadschlüssel generieren, um die Sicherheit zu erhöhen. Wenn Sie keinen generieren, dient Ihr App-Signaturschlüssel weiterhin gleichzeitig als Uploadschlüssel, mit dem Sie neue Releases signieren.
Zertifikat (.der oder .pem)

Ein Zertifikat enthält einen öffentlichen Schlüssel und identifizierende Informationen zum Inhaber des Schlüssels. Mit dem Public-Key-Zertifikat kann jeder überprüfen, wer das App Bundle oder das APK signiert hat. Das Zertifikat kann beliebig geteilt werden. Es enthält keinen privaten Schlüssel.

Wenn Sie Ihre(n) Schlüssel bei API-Anbietern registrieren möchten, können Sie das öffentliche Zertifikat für Ihren App-Signaturschlüssel und Ihren Uploadschlüssel über die App-Signaturseite in der Play Console herunterladen. Das Public-Key-Zertifikat kann beliebig geteilt werden. Es enthält keinen privaten Schlüssel.

Zertifikat-Fingerabdruck

Eine kurze und eindeutige Darstellung eines Zertifikats, die von API-Anbietern neben dem Paketnamen häufig verlangt wird, wenn man eine App für ihren Dienst registrieren möchte.

Den MD5-, SHA-1- und SHA-256-Fingerabdruck der Upload- und App-Signaturzertifikate finden Sie auf der App-Signaturseite der Play Console. Wenn Sie das ursprüngliche Zertifikat (.der) von der App-Signaturseite herunterladen, können Sie auch andere Fingerabdrücke berechnen lassen.

Java-Keystore (.jks oder .keystore) Ein Repository mit Sicherheitszertifikaten und privaten Schlüsseln.
Play Encrypt Private Key-Tool (PEPK-Tool)

Mit diesem Tool können Sie private Schlüssel aus einem Java Keystore exportieren und sie für die Übertragung an Google Play verschlüsseln.

Wenn Sie den App-Signaturschlüssel für Google zur Verfügung stellen, wählen Sie die Option zum Exportieren und Hochladen Ihres Schlüssels (und das jeweilige öffentliche Zertifikat, falls erforderlich) aus und folgen Sie der Anleitung zum Herunterladen und Verwenden des Tools. Sie können auch den Open-Source-Code des PEPK-Tools herunterladen, überprüfen und verwenden.

App-Signaturvorgang

Sie können APKs, die mit dem ursprünglichen App-Signaturschlüssel signiert wurden, vor oder nach der Anmeldung für die App-Signatur von Google Play hochladen.

Wenn Sie beginnen, Android App Bundles zu verwenden, können Sie diese in Test-Tracks testen, während Sie Ihr vorhandenes APK für den Produktions-Release verwenden. Dieser Vorgang läuft folgendermaßen ab:

  1. Signieren Sie Ihr App Bundle oder APK und laden Sie es in der Play Console hoch.
  2. Der nächste Schritt hängt davon ab, was Sie hochladen:
    • App Bundle: Google generiert aus Ihrem App Bundle optimierte APKs und signiert diese mit dem App-Signaturschlüssel.
    • Mit Uploadschlüssel signiertes APK: Google überprüft und entfernt Ihre Signatur vom APK. Danach wird das APK mit dem App-Signaturschlüssel neu signiert.
    • Mit App-Signaturschlüssel signiertes APK: Google überprüft die Signatur.
  3. Google übermittelt signierte APKs an den Nutzer.

Für die App-Signatur von Google Play anmelden

Neue Apps

Schritt 1: Uploadschlüssel erstellen

  1. Folgen Sie dieser Anleitung, um einen Uploadschlüssel zu erstellen.
  2. Signieren Sie Ihr neues APK mit dem Uploadschlüssel.

Schritt 2: App-Veröffentlichung vorbereiten

  1. Folgen Sie der Anleitung, um Ihren Release vorzubereiten und zu veröffentlichen.
  2. Wählen Sie zuerst den Release-Track aus und konfigurieren Sie dann die App-Signatur im Abschnitt "App-Signaturschlüssel von Google verwalten und schützen lassen".
  3. Klicken Sie auf Weiter, um den generierten Schlüssel als Uploadschlüssel zu verwenden, den Sie zum Signieren künftiger Releases verwenden. Sie können aber auch Erweiterte Optionen für folgende Möglichkeiten auswählen:
    • Denselben Schlüssel wie für eine andere App in Ihrem Entwicklerkonto verwenden (Option 2).
    • Einen vorhandenen App-Signaturschlüssel hochladen (Option 2, 3 und 4): Wählen Sie die Option zum Exportieren und Hochladen aus, die für Sie am besten geeignet ist. Nachdem Sie den App-Signaturschlüssel und das zugehörige öffentliche Zertifikat hochgeladen haben, können Sie einen Uploadschlüssel erstellen oder den App-Signaturschlüssel weiterhin als Uploadschlüssel verwenden.

Hinweis: Sie müssen die Nutzungsbedingungen akzeptieren und sich für die App-Signatur anmelden, um fortfahren zu können.

Schritt 3: App-Signaturschlüssel bei API-Anbietern registrieren

Wenn Ihre App eine API verwendet, müssen Sie normalerweise das Zertifikat des Schlüssels, mit dem Google Ihre App signiert, für die Authentifizierung mit dem Fingerabdruck des Zertifikats registrieren. So finden Sie das Zertifikat:

  1. Melden Sie sich in der Play Console an.
  2. Wählen Sie eine App aus.
  3. Klicken Sie im linken Menü auf Release-Verwaltung > App-Signatur.
  4. Kopieren Sie die Fingerabdrücke (MD5, SHA-1 und SHA-256) Ihres App-Signaturzertifikats.
    • Wenn der API-Anbieter einen anderen Fingerabdrucktyp verlangt, können Sie außerdem das Originalzertifikat im .der-Format herunterladen und es in das vom API-Anbieter vorgegebene Format umwandeln lassen.
Bestehende Apps

Schritt 1: Für App-Signatur von Google Play anmelden

  1. Melden Sie sich in der Play Console an.
  2. Wählen Sie eine App aus.
  3. Klicken Sie im linken Menü auf Release-Verwaltung > App-Signatur.
  4. Lesen Sie die Nutzungsbedingungen und klicken Sie auf Akzeptieren, falls Sie dies nicht bereits getan haben.

Schritt 2: Ursprünglichen Schlüssel an Google senden und Uploadschlüssel erstellen

  1. Suchen Sie den ursprünglichen App-Signaturschlüssel.
  2. Melden Sie sich in der Play Console an.
  3. Wählen Sie eine App aus.
  4. Klicken Sie im linken Menü auf Release-Verwaltung > App-Signatur.
  5. Wählen Sie die Export- und Upload-Option aus, die am besten zu Ihrem Veröffentlichungsprozess passt, und laden Sie einen vorhandenen App-Signaturschlüssel hoch.

Schritt 3: Uploadschlüssel erstellen (optional und empfohlen)

  1. Erstellen Sie einen Uploadschlüssel und laden Sie das Zertifikat bei Google Play hoch.
    • Sie können auch weiterhin den App-Signaturschlüssel als Uploadschlüssel verwenden.
  2. Kopieren Sie die Fingerabdrücke (MD5, SHA-1 und SHA-256) Ihres App-Signaturzertifikats.
    • Zu Testzwecken müssen Sie unter Umständen das Zertifikat Ihres Uploadschlüssels mithilfe des App-Signaturschlüssels und des Zertifikat-Fingerabdrucks bei API-Anbietern registrieren.

Schritt 4: Nächstes App-Update mit dem Uploadschlüssel signieren

Wenn Sie Updates für Ihre App veröffentlichen, müssen Sie sie mit Ihrem Uploadschlüssel signieren.

  • Falls Sie keinen neuen Uploadschlüssel generiert haben: Verwenden Sie den ursprünglichen App-Signaturschlüssel, um Releases vor dem Upload bei Google Play zu signieren. Wenn Sie Ihren App-Signaturschlüssel verlieren, können Sie einen neuen Uploadschlüssel generieren und ihn bei Google registrieren, um auch in Zukunft Updates Ihrer App signieren und hochladen zu können.
  • Falls Sie einen neuen Uploadschlüssel generiert haben: Verwenden Sie Ihren neuen Uploadschlüssel, um Releases vor dem Upload bei Google Play zu signieren. Nachdem Sie einen Release hochgeladen haben, überprüft Google ihn auf einen Uploadschlüssel, um Ihre Identität zu bestätigen. Wenn Sie den Uploadschlüssel verlieren, können Sie den Support kontaktieren, um ihn zurückzusetzen.

Uploadschlüssel erstellen und Schlüsselspeicher aktualisieren

Wenn Sie die Sicherheit erhöhen möchten, empfehlen wir, Ihre App mit einem neuen Uploadschlüssel zu signieren, statt Ihren App-Signaturschlüssel zu verwenden.

Sie haben die Möglichkeit, einen Uploadschlüssel zu erstellen, wenn Sie sich die für App-Signatur von Google Play anmelden. Sie können dies aber auch später tun, indem Sie Release-Verwaltung > App-Signatur aufrufen.

So erstellen Sie einen Uploadschlüssel:

  1. Folgen Sie der Anleitung auf der Website für Android-Entwickler. Bewahren Sie Ihren Schlüssel an einem sicheren Ort auf.
  2. Exportieren Sie das Zertifikat für den Uploadschlüssel in das PEM-Format. Ersetzen Sie die folgenden unterstrichenen Argumente:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Während des Release-Vorgangs werden Sie dazu aufgefordert, das Zertifikat hochzuladen. Folgen Sie dieser Aufforderung, um das Zertifikat bei Google zu registrieren.

Wenn Sie einen Uploadschlüssel verwenden:

  • Ihr Uploadschlüssel wird nur bei Google registriert, um die Identität des App-Erstellers zu bestätigen.
  • Ihre Signatur wird aus allen hochgeladenen APKs entfernt, bevor diese an die Nutzer gesendet werden
Einschränkungen in Bezug auf den Uploadschlüssel
  • Der Uploadschlüssel muss ein RSA-Schlüssel mit einer Mindestgröße von 2.048 Bit sein.
  • DSA-, EC- und RSA-Schlüssel, die kleiner als 2.048 Bit sind, werden nicht unterstützt.
Schlüsselspeicher aktualisieren

Nachdem Sie einen Uploadschlüssel erstellt haben, empfehlen wir, die folgenden Schlüsselspeicher zu überprüfen und zu aktualisieren:

  • Lokale Rechner
  • Durch Zugriffssteuerung gesicherter lokaler Server (verschiedene ACLs)
  • Cloud-Rechner (verschiedene ACLs)
  • Spezielle Dienste zur Verwaltung von Geheimnissen
  • (Git)-Repositories

App-Signaturschlüssel für neue Installationen aktualisieren

Unter bestimmten Umständen können Sie eine Aktualisierung des App-Signaturschlüssels anfordern. Ihr neuer Schlüssel wird zum Signieren neuer Installationen und App-Updates verwendet. Der alte App-Signaturschlüssel wird weiterhin genutzt, um Updates für Nutzer zu signieren, die Ihre App vor der Schlüsselaktualisierung installiert haben.

Beachten Sie, dass der Signaturschlüssel einer App nur einmalig aktualisiert werden kann. In dem unwahrscheinlichen Fall, dass mehrere Apps denselben Signaturschlüssel für denselben Prozess verwenden, ist es nicht möglich, einen aktualisierten Schlüssel zu nutzen.

Hier sind einige Gründe, die für eine Aktualisierung des App-Signaturschlüssels sprechen:

  • Sie benötigen einen kryptografisch stärkeren Schlüssel.
  • Ihr App-Signaturschlüssel wurde manipuliert.

Hinweis: Das Anfordern einer Aktualisierung des App-Signaturschlüssels in der Play Console hat nichts mit dem Schlüsselwechsel zu tun, der im APK-Signaturschema Version 3 für Android P und höher eingeführt wurde. Diese Art des Schlüsselwechsels wird von Google Play aktuell nicht unterstützt.

Wichtige Hinweise vor dem Anfordern einer Schlüsselaktualisierung

Bevor Sie eine Schlüsselaktualisierung anfordern, sollten Sie sich mit den Änderungen vertraut machen, die Sie nach Abschluss der Aktualisierung vornehmen müssen.

  • Wenn Sie denselben App-Signaturschlüssel zum Signieren mehrerer Apps verwenden, damit sie Code oder Daten gemeinsam nutzen können, müssen Sie Ihre Apps so aktualisieren, dass sie sowohl den neuen als auch den alten Schlüssel erkennen.
  • Falls Ihre App APIs verwendet, sollten Sie vor der Aktualisierung Ihrer App darauf achten, dass Sie die Zertifikate für Ihren neuen und alten App-Signaturschlüssel bei den API-Anbietern vor dem Veröffentlichen eines Updates registrieren, damit die APIs auch weiterhin funktionieren. Zertifikate sind auf der Seite App-Signatur der Play Console verfügbar.  
  • Wenn viele Ihrer Nutzer App-Updates über Peer-to-Peer-Verbindungen installieren, können sie nur solche Updates installieren, die mit demselben Schlüssel wie die auf ihrem Gerät bereits installierte App-Version signiert sind. Nutzer, die ihre App nicht aktualisieren können, weil sie eine mit einem anderen Schlüssel signierte Version haben, müssen die App deinstallieren und dann neu installieren, um das Update zu erhalten.
Schlüsselaktualisierung für neue Installationen anfordern
  1. Melden Sie sich in der Play Console an.
  2. Wählen Sie eine App aus.
  3. Klicken Sie im linken Menü auf Release-Verwaltung > App-Signatur.
  4. Wählen Sie auf der Karte "App-Signaturschlüssel für neue Installationen aktualisieren" die Option Schlüsselaktualisierung anfordern aus.
  5. Wählen Sie eine Option aus.
    • Je nach der von Ihnen ausgewählten Option müssen Sie sich möglicherweise an den Support wenden, um Ihre Anfrage abzuschließen.
  6. Bitten Sie Google, einen neuen App-Signaturschlüssel zu generieren (empfohlen) oder einen hochzuladen.
    • Wenn Sie vor dem Aktualisieren Ihres App-Signaturschlüssels denselben Schlüssel als App-Signatur- und als Uploadschlüssel verwendet haben, können Sie Ihren alten App-Signaturschlüssel weiterhin als Uploadschlüssel verwenden oder einen neuen generieren.

Best Practices

  • Wenn Sie Ihre App auch außerhalb von Google Play vertreiben oder dies für die Zukunft planen, können Sie einen App-Signaturschlüssel für alle App-Stores generieren und ihn bei Google hochladen, wenn Sie sich für die App-Signatur von Google Play anmelden.
  • Zum Schutz Ihres Kontos sollten Sie für Konten mit Zugriff auf Ihre Play Console die Bestätigung in zwei Schritten zu aktivieren.
  • Nachdem Sie ein App Bundle über einen Test- oder Produktions-Track veröffentlicht haben, können Sie im App Bundle Explorer ein ZIP-Archiv mit allen APKs für ein bestimmtes Gerät herunterladen. Diese APKs sind mit dem App-Signaturschlüssel signiert. Sie können die APKs im ZIP-Archiv mit dem Befehlszeilendienstprogramm bundletool auf einem Gerät installieren.
  • Generieren Sie einen neuen Uploadschlüssel, der sich von Ihrem App-Signaturschlüssel unterscheidet, um die Sicherheit zu erhöhen.
  • Wenn Sie das mit dem Uploadschlüssel signierte APK testen möchten, müssen Sie Ihren Uploadschlüssel bei allen Diensten bzw. APIs registrieren, die die Signatur Ihrer App zur Authentifizierung verwenden. Beispiele dafür sind die Google Maps API oder das Facebook-SDK.
  • Falls Sie eine Google API verwenden, empfehlen wir Ihnen, das Uploadzertifikat in der Google Cloud Console für Ihre App zu registrieren.

Verloren gegangener oder manipulierter Uploadschlüssel?

Wenn Sie Ihren privaten Uploadschlüssel verloren haben oder er manipuliert wurde, können Sie einen neuen erstellen. Bitten Sie dann Ihren Kontoinhaber, sich an den Support zu wenden, um den Schlüssel zurücksetzen zu lassen. Der Kontoinhaber muss hierbei die Datei upload_certificate.pem anhängen.

Nachdem unser Supportteam den neuen Uploadschlüssel registriert hat, erhalten Sie eine entsprechende E-Mail. Sie können dann Ihre Schlüsselspeicher aktualisieren und Ihren Schlüssel bei API-Anbietern registrieren.

Wichtig: Das Zurücksetzen des Uploadschlüssel hat keinen Einfluss auf den App-Signaturschlüssel, den Google Play verwendet, um APKs nochmals zu signieren, bevor sie an Nutzer übermittelt werden.

War das hilfreich?
Wie können wir die Seite verbessern?