Sử dụng Tính năng ký ứng dụng của Play

Quá trình này sẽ diễn ra như sau:

1. Ký gói ứng dụng của bạn rồi tải lên Play Console.
2. Google tạo ra những tệp APK được tối ưu hoá dựa trên gói ứng dụng của bạn và ký những tệp APK đó bằng khoá ký ứng dụng.
3. Google sử dụng apksigner để thêm hai con dấu vào tệp kê khai của ứng dụng (com.android.stamp.source và com.android.stamp.type), sau đó ký tệp APK bằng khoá ký ứng dụng của bạn. Con dấu do apksigner thêm vào giúp bạn có thể truy xem ai đã ký những tệp APK đó.
4. Google cung cấp tệp APK đã ký cho người dùng.

Khi bạn sử dụng khoá do Google tạo, Google sẽ tự động tạo khoá RSA 4096 bit bằng một biện pháp mã hoá mạnh. Nếu bạn chọn tải khoá ký ứng dụng của mình lên thì khoá đó phải là khoá RSA từ 2048 bit trở lên.

Bước 1: Định cấu hình Tính năng ký ứng dụng của Play

1. Mở Play Console rồi truy cập trang Tính năng ký ứng dụng của Play (Bản phát hành > Thiết lập > Ký ứng dụng).
   • Mẹo: Bạn cũng có thể truy cập trang này qua trang Tính toàn vẹn của ứng dụng (Bản phát hành > Tính toàn vẹn của ứng dụng), trong đó có dịch vụ ký và bảo vệ tính toàn vẹn giúp bạn đảm bảo rằng người dùng trải nghiệm ứng dụng và trò chơi của bạn theo đúng cách bạn mong muốn.
2. Xem Điều khoản dịch vụ của Tính năng ký ứng dụng của Play rồi chọn Chấp nhận (nếu chưa thực hiện thao tác này).

Bước 2: Gửi một bản khoá gốc của bạn cho Google và tạo khoá tải lên

1. Xác định vị trí khoá ký ứng dụng gốc.
2. Mở Play Console rồi truy cập trang Tính năng ký ứng dụng của Play (Bản phát hành > Thiết lập > Ký ứng dụng).
3. Chọn cách xuất và tải lên phù hợp nhất với quy trình phát hành của bạn rồi tải khoá ký ứng dụng hiện có lên.

Bước 3: Tạo khoá tải lên (nên dùng nhưng không bắt buộc)

1. Tạo khoá tải lên và tải chứng chỉ lên Google Play.
   • Bạn cũng có thể tiếp tục sử dụng khoá ký ứng dụng làm khoá tải lên.
2. Sao chép tệp tham chiếu (MD5, SHA-1 và SHA-256) của chứng chỉ ký ứng dụng của bạn.
   • Đối với mục đích thử nghiệm, có thể bạn phải đăng ký chứng chỉ khoá tải lên của mình với nhà cung cấp API bằng dấu vân tay chứng chỉ và khoá ký ứng dụng.

Bước 4: Ký bản cập nhật ứng dụng tiếp theo bằng khoá tải lên đó

Khi phát hành bản cập nhật cho ứng dụng, bạn cần ký các bản cập nhật đó bằng khoá tải lên.

• Nếu bạn không tạo khoá tải lên mới: Hãy tiếp tục dùng khoá ký ứng dụng gốc để ký các gói ứng dụng trước khi tải lên Google Play. Nếu bị mất khoá ký ứng dụng gốc, bạn có thể tạo khoá tải lên mới và đăng ký khoá đó với Google để tiếp tục cập nhật ứng dụng.
• Nếu bạn đã tạo khoá tải lên mới: Hãy sử dụng khoá tải lên mới để ký các gói ứng dụng trước khi tải lên Google Play. Google sẽ sử dụng khoá tải lên đó để xác minh danh tính của bạn. Nếu bị mất khoá tải lên, bạn có thể liên hệ với bộ phận hỗ trợ để thiết lập lại.

Bạn nên làm việc này nếu không thể chia sẻ khoá hiện có. Trước khi chọn nâng cấp khoá ký ứng dụng của bạn để đăng ký tính năng này, hãy lưu ý rằng:

• Tuỳ chọn này yêu cầu bạn phải phát hành đồng thời hai bản.
• Bạn sẽ phải dùng một gói ứng dụng và một tệp APK đã ký bằng khoá cũ để tải lên cho mọi bản phát hành. Google Play sẽ dùng gói ứng dụng của bạn để tạo tệp APK ký bằng khoá mới cho thiết bị chạy Android R* (API cấp 30) trở lên. Tệp APK của bạn sẽ được dùng cho các bản phát hành Android cũ hơn (lên đến API cấp 29).

*Nếu ứng dụng của bạn sử dụng sharedUserId, bạn nên đăng ký nâng cấp khoá cho các lượt cài đặt và cập nhật trên thiết bị chạy Android T (API cấp 33) trở lên. Để định cấu hình giá trị này, vui lòng thiết lập một phiên bản SDK tối thiểu chính xác trong cấu hình gói.

Bước 1: Tải khoá mới lên, đồng thời tạo và tải proof-of-rotation lên

Để cho phép việc tin tưởng khoá mới trên thiết bị Android, bạn phải tải khoá ký mới lên từ kho lưu trữ, đồng thời tạo và tải proof-of-rotation lên:

1. Mở Play Console rồi truy cập trang Tính năng ký ứng dụng của Play (Bản phát hành > Thiết lập > Ký ứng dụng).
   • Mẹo: Bạn cũng có thể truy cập trang này qua trang Tính toàn vẹn của ứng dụng (Bản phát hành > Tính toàn vẹn của ứng dụng), trong đó có dịch vụ ký và bảo vệ tính toàn vẹn giúp bạn đảm bảo rằng người dùng trải nghiệm ứng dụng và trò chơi của bạn theo đúng cách bạn mong muốn.
2. Chọn thẻ Ký ứng dụng.
3. Nhấp vào Hiện tuỳ chọn nâng cao rồi chọn Dùng một khoá ký ứng dụng mới (bắt buộc phải phát hành đồng thời hai bản).
4. Chọn sử dụng cùng một khoá ký ứng dụng làm một ứng dụng khác trong tài khoản nhà phát triển của bạn hoặc tải khoá ký ứng dụng mới lên qua Android Studio, Java KeyStore hoặc một kho lưu trữ khác.
5. Làm theo hướng dẫn trên màn hình, tải xuống và chạy công cụ PEPK.
6. Khi đã tạo xong tệp ZIP, hãy nhấp vào Tải tệp ZIP đã tạo lên để tải tệp đó lên Play Console.
7. Bên cạnh "5. Cho phép việc tin tưởng khoá mới trên thiết bị Android bằng cách tải proof-of-rotation lên, nhấp vào Hiển thị hướng dẫn.
8. Tải APKSigner xuống và tạo proof-of-rotation bằng cách chạy lệnh sau:
   • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
9. Nhấp vào Tải tệp proof-of-rotation đã tạo lên rồi tải proof-of-rotation được tạo ở bước 8 lên.
10. Nhấp vào Lưu.

• Phải là khoá RSA 2048 bit trở lên.

Sau khi tạo khoá tải lên, bạn nên kiểm tra và cập nhật một số vị trí sau đây:

• Máy cục bộ
• Máy chủ tại chỗ đã khoá (ACL khác nhau)
• Máy đám mây (ACL khác nhau)
• Dịch vụ quản lý bí mật chuyên dụng
• Kho lưu trữ (Git)

Trước khi yêu cầu nâng cấp khoá, điều quan trọng là phải hiểu những thay đổi mà có thể bạn cần thực hiện sau khi quá trình nâng cấp hoàn tất.

• Nếu sử dụng cùng một khoá ký ứng dụng cho nhiều ứng dụng để chia sẻ dữ liệu/mã giữa những ứng dụng đó, bạn cần cập nhật ứng dụng của mình để nhận dạng chứng chỉ khoá ký ứng dụng cả mới lẫn cũ. Trên thiết bị chạy Android S (API cấp 32) trở xuống, chỉ Nền tảng Android mới công nhận chứng chỉ khoá ký ứng dụng cũ nhằm mục đích chia sẻ dữ liệu/mã.
• Nếu ứng dụng của bạn sử dụng API, hãy nhớ đăng ký chứng chỉ cho cả khoá ký ứng dụng mới và cũ của bạn với các nhà cung cấp API trước khi phát hành bản cập nhật để đảm bảo API tiếp tục hoạt động. Các chứng chỉ này nằm trên trang Tính năng ký ứng dụng của Play (Bản phát hành > Thiết lập > Ký ứng dụng) trong Play Console.  
• Nếu người dùng nào đó cài đặt bản cập nhật qua tính năng chia sẻ ngang hàng, thì họ sẽ chỉ cài đặt được những bản cập nhật ký bằng khoá của chính phiên bản ứng dụng họ đã cài đặt. Nếu người dùng không thể cập nhật ứng dụng vì phiên bản ứng dụng của họ được ký bằng một khoá khác, thì họ có thể gỡ cài đặt rồi cài đặt lại ứng dụng để nhận bản cập nhật.

Mỗi ứng dụng có thể được nâng cấp khoá ký ứng dụng cho tất cả lượt cài đặt trên Android N (API cấp 24) trở lên một lần mỗi năm.

Nếu bạn yêu cầu nâng cấp khoá thành công, khoá mới sẽ được dùng để ký tất cả lượt cài đặt và bản cập nhật ứng dụng mới. Trên thiết bị chạy Android T (API cấp 33) trở lên, nền tảng Android sẽ thực thi việc sử dụng khoá đã nâng cấp. Trên thiết bị chạy Android S (API cấp 32) trở xuống, Nền tảng Android không thực thi việc sử dụng khoá đã nâng cấp này, đồng thời vẫn công nhận khoá ký cũ làm khoá ký của ứng dụng. Điều này cũng áp dụng cho mọi tính năng của Nền tảng Android (ví dụ: chia sẻ quyền tuỳ chỉnh) dựa trên khoá ký của ứng dụng. Trên thiết bị chạy Android N (API cấp 24) đến Android S (API cấp 32), Google Play Protect sẽ kiểm tra để đảm bảo bản cập nhật ứng dụng được ký bằng khoá đã nâng cấp, trừ phi người dùng tắt tính năng này. Điều này giúp xác thực bổ sung vì Nền tảng Android không thực thi việc sử dụng khoá đã nâng cấp trên thiết bị chạy Android S (API cấp 32) trở xuống.

1. Mở Play Console rồi truy cập trang Tính năng ký ứng dụng của Play (Bản phát hành > Thiết lập > Ký ứng dụng).
   • Mẹo: Bạn cũng có thể truy cập trang này qua trang Tính toàn vẹn của ứng dụng (Bản phát hành > Tính toàn vẹn của ứng dụng), trong đó có dịch vụ ký và bảo vệ tính toàn vẹn giúp bạn đảm bảo rằng người dùng trải nghiệm ứng dụng và trò chơi của bạn theo đúng cách bạn mong muốn.
2. Trong thẻ "Nâng cấp khoá ký ứng dụng", hãy chọn Yêu cầu cập nhật khoá.
3. Chọn nâng cấp khoá ký ứng dụng cho tất cả lượt cài đặt trên Android N trở lên.
4. Yêu cầu Google tạo khoá ký ứng dụng mới (nên áp dụng) hoặc tải một khoá ký ứng dụng lên.
   • Sau khi nâng cấp khoá ký ứng dụng, nếu đang sử dụng cùng một khoá làm cả khoá ký ứng dụng và khoá tải lên, thì bạn có thể tiếp tục sử dụng khoá ký ứng dụng cũ làm khoá tải lên hoặc tạo khoá tải lên mới.
5. Chọn lý do yêu cầu nâng cấp khoá ký ứng dụng.
6. Nếu cần, hãy đăng ký khoá ký ứng dụng mới với nhà cung cấp API.

Mẹo: Nếu bạn phân phối ứng dụng trên nhiều kênh phân phối và muốn tăng tối đa khả năng tương thích của bản cập nhật ứng dụng cho người dùng, thì bạn nên nâng cấp khoá của mình trên từng kênh phân phối. Để tương thích với bản nâng cấp khoá của Google Play, hãy dùng công cụ ApkSigner, đi kèm với Công cụ dựng SDK Android (Bản sửa đổi 33.0.1 trở lên):

$ apksigner sign --in ${INPUT_APK}

--out ${OUTPUT_APK}

--ks ${ORIGINAL_KEYSTORE}

--ks-key-alias ${ORIGINAL_KEY_ALIAS}

--next-signer --ks ${UPGRADED_KEYSTORE}

--ks-key-alias ${UPGRADED_KEY_ALIAS}

--lineage ${LINEAGE}

 Tìm hiểu thêm về cách hoạt động của bản cập nhật ứng dụng.