Как использовать функцию подписания приложений в Google Play

Вот как это работает:

1. Вы подписываете набор App Bundle и загружаете его в Play Console.
2. Google оптимизирует APK-файлы из вашего набора, а затем подписывает их с помощью ключа подписи приложения.
3. Google использует инструмент apksigner, чтобы добавлять к приложению две метки, com.android.stamp.source и com.android.stamp.type, а затем подписывать APK-файлы с помощью ключа подписи приложения. Метки, добавленные через apksigner, позволяют определить, кто подписал APK-файлы.
4. Google доставляет подписанные APK-файлы пользователям.

Если вы решите использовать ключ, сгенерированный Google, для вас будет автоматически создан криптостойкий 4096-битный ключ RSA. Если вы хотите загрузить собственный ключ подписи приложения, используйте ключ RSA размером не менее 2048 бит.

Шаг 1. Настройте функцию подписания приложений в Google Play

1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Тестирование и выпуск > Настройка > Подписи приложений).
   • Примечание. Этот раздел также доступен на странице Целостность приложения (Тестирование и выпуск > Целостность приложения), где собраны сервисы для подписания и обеспечения целостности, которые помогают защищать приложения и игры от нежелательных изменений.
2. Ознакомьтесь с Условиями использования функции подписания приложений в Google Play и нажмите Принять, если ещё этого не сделали.

Шаг 2. Отправьте в Google копию оригинального ключа и создайте ключ загрузки

1. Найдите оригинальный ключ подписи приложения.
2. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Тестирование и выпуск > Настройка > Подписи приложений).
3. Экспортируйте и загрузите ключ подписи приложения тем способом, который больше всего подходит для вашего процесса выпуска.

Шаг 3. Создайте ключ загрузки (необязательно, но рекомендуется)

1. Создайте ключ загрузки и загрузите сертификат в Google Play.
   • В качестве ключа загрузки можно также использовать ключ подписи приложения.
2. Скопируйте цифровые отпечатки (MD5, SHA-1 и SHA-256) сертификата подписания приложений.
   • Для проведения тестирования вам может потребоваться зарегистрировать у поставщика API сертификат ключа загрузки с помощью цифрового отпечатка сертификата и ключа подписи приложения.

Шаг 4. Подпишите следующее обновление своего приложения ключом загрузки

Выпускаемые обновления приложения нужно подписывать ключом загрузки.

• Если вы не сгенерировали новый ключ загрузки, продолжайте использовать для наборов App Bundle оригинальный ключ подписи приложения. В случае утери этого ключа подписи вы можете сгенерировать новый ключ загрузки и зарегистрировать его в Google, чтобы и дальше выпускать обновления.
• Если вы сгенерировали новый ключ загрузки, используйте его для подписания наборов App Bundle. Google использует ключ загрузки для проверки вашей личности. Если вы потеряете ключ загрузки, обратитесь в службу поддержки, чтобы его сбросить.

Это может потребоваться, если вы не можете поделиться существующим ключом. Учитывайте следующее:

• После выполнения процедуры вам будет необходимо загружать две группы файлов в каждый выпуск приложения.
• Вам потребуется загружать набор App Bundle и APK-файл, подписанный устаревшим ключом, в каждый выпуск приложения. С помощью наборов App Bundle Google Play будет генерировать APK-файлы, подписанные новым ключом, для устройств с Android R* (API уровня 30) и более поздних версий. Ваши устаревшие APK-файлы будут использоваться для более ранних версий Android (API уровня 29 и ниже).

* Если ваше приложение использует идентификаторы sharedUserId, рекомендуем применять обновленный ключ для установки и обновлений на устройствах с Android T (API уровня 33) и более поздними версиями. Для этого укажите подходящую минимальную версию SDK в параметрах набора.

Шаг 1. Загрузите новый ключ, а затем создайте и загрузите файл подтверждения смены

Это необходимо, чтобы устройства Android доверяли новому ключу подписи.

1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Тестирование и выпуск > Настройка > Подписи приложений).
   • Примечание. Этот раздел также доступен на странице Целостность приложения (Тестирование и выпуск > Целостность приложения), где собраны сервисы для подписания и обеспечения целостности, которые помогают защищать приложения и игры от нежелательных изменений.
2. Перейдите на вкладку Подписи приложений.
3. Нажмите Показать дополнительные параметры и выберите Использовать новый ключ подписи приложения (требуется загрузка двух групп файлов в каждый новый выпуск).
4. Выберите нужный вариант: использовать ключ подписи другого приложения из этого аккаунта разработчика или загрузить новый ключ подписи приложения из Android Studio, Java Keystore или другого хранилища.
5. Следуя инструкциям на экране, скачайте и запустите инструмент PEPK.
6. Загрузите полученный ZIP-архив в Play Console, выбрав Загрузить созданный ZIP-архив.
7. Рядом с пятым пунктом "Загрузите файл подтверждения смены. Тогда устройства Android смогут определять, что новый ключ надежен" нажмите Показать инструкции.
8. Скачайте APKSigner и создайте файл подтверждения смены, выполнив следующую команду:
   • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
9. Выберите Загрузить сгенерированный файл подтверждения смены и укажите файл, созданный на шаге 8.
10. Нажмите Сохранить.

• Ключ RSA размером не менее 2048 бит.

Создав ключ загрузки, проверьте и при необходимости обновите следующие местоположения:

• локальная система;
• защищенный локальный сервер (с различными списками контроля доступа);
• облачная система (с различными списками контроля доступа);
• специальные сервисы по управлению ключами;
• хранилища Git.

Прежде чем запрашивать обновление ключа, важно понять, какие изменения это повлечет.

• Если в нескольких приложениях вам нужны одинаковые данные или код и поэтому вы используете один ключ подписи, обновите приложения. Это позволит им распознавать сертификаты как нового, так и устаревшего ключа. На устройствах с Android S (API уровня 32) и более ранними версиями платформа Android в целях обмена кодом или данными распознает только сертификат устаревшего ключа подписи.
• Если приложение использует API, перед публикацией его обновления обязательно зарегистрируйте сертификаты для нового и устаревшего ключей подписи приложения у поставщика API. Сертификаты доступны на странице Подписание приложений в Google Play (Тестирование и выпуск > Настройка > Подписи приложений) в Play Console.  
• Пользователи вашего приложения, которые скачивают обновления через файлообменные сети, смогут устанавливать только обновления, подписанные тем же ключом, что и версия приложения на их устройствах. Если приложение нельзя обновить из-за того, что установленная версия подписана другим ключом, то для получения обновлений пользователи могут удалить и переустановить приложение.

Для всех установок каждого приложения на устройствах с Android N (API уровня 24) и более поздними версиями ключ подписи можно обновлять только один раз в год.

Если по своему запросу вы получили новый ключ, он будет использоваться для подписания всех установок и обновлений приложения. На устройствах с Android T (API уровня 33) и более поздними версиями обновленный ключ будет применяться принудительно. На устройствах с Android S (API уровня 32) и более ранними версиями он не будет использоваться принудительно, и платформа Android по-прежнему сможет распознавать устаревший ключ. Это также относится к любым функциям платформы (например, предоставлению специальных разрешений), которые зависят от ключа подписи приложения. На устройствах с версиями ОС от Android N (API уровня 24) до Android S (API уровня 32) использование обновленного ключа для подписи обновлений приложения будет проверяться Google Play Защитой, если владелец устройства не отключит эту функцию. Это позволяет дополнительно проверить использование обновленного ключа в случаях, где он не применяется принудительно, то есть на устройствах с Android S (API уровня 32) и более ранними версиями.

1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Тестирование и выпуск > Настройка > Подписи приложений).
   • Примечание. Этот раздел также доступен на странице Целостность приложения (Тестирование и выпуск > Целостность приложения), где собраны сервисы для подписания и обеспечения целостности, которые помогают защищать приложения и игры от нежелательных изменений.
2. В карточке "Обновление ключа подписи приложения" выберите Запросить обновление ключа.
3. Отметьте вариант, при котором будет обновлен ключ подписи для всех установок приложения на устройствах с Android N и более поздними версиями.
4. Разрешите Google создать новый ключ подписи приложения (рекомендуется) или загрузите его.
   • Если вы обновили ключ подписи приложения, который совпадал с ключом загрузки, можно продолжить использовать прежний ключ загрузки или сгенерировать новый.
5. Укажите причину, по которой вы запрашиваете обновление ключа подписи приложения.
6. При необходимости зарегистрируйте новый ключ подписи приложения у поставщиков API.

Совет. Если вы распространяете приложение на различных площадках и хотите обеспечить максимальную совместимость его обновления, вам нужно обновить ключ подписи на каждой из них. Для этого используйте следующую команду в инструменте ApkSigner, доступном в Android SDK Build Tools версии 33.0.1 или более поздней:

$ apksigner sign --in ${INPUT_APK}

--out ${OUTPUT_APK}

--ks ${ORIGINAL_KEYSTORE}

--ks-key-alias ${ORIGINAL_KEY_ALIAS}

--next-signer --ks ${UPGRADED_KEYSTORE}

--ks-key-alias ${UPGRADED_KEY_ALIAS}

--lineage ${LINEAGE}

Подробнее об обновлении приложений…