Oznámení

You can now request help from the Help page in your Play Console account.  If you don't have access to Play Console, ask your account admin for an invite.

Jak používat podepisování aplikací

Když používáte podepisování aplikací ve službě Play, společnost Google spravuje a chrání podpisový klíč vaší aplikace ve stejné zabezpečené infrastruktuře, ve které uchovává své vlastní klíče. Tyto klíče chrání služba Key Management Service (KMS) od Googlu. Další informace o této špičkové infrastruktuře najdete v informační brožuře o zabezpečení služby Google Cloud.
 

Proč používat podepisování aplikací ve službě Play? Kromě ochrany klíčů před trvalou ztrátou nebo prolomením vám registrace do podepisování aplikací ve službě Play umožní využívat vylepšení služby Play pro balíčky Android App Bundle (.aab). Když necháte společnost Google podepisovat optimalizované soubory APK pro distribuci vygenerované z balíčků aplikací, získáte přístup k cenným službám, jako je automatická ochrana a automatický překlad řetězců pomocí modelů Gemini. Hry získají přístup k dalším automatickým službám, jako jsou Play Games Sidekick, hraní při stahování a zkušební období bez dalších poplatků pro placené tituly.

Pokud chcete nakonfigurovat podepisování aplikací ve službě Play, musíte být vlastníkem účtu nebo mít oprávnění Vydávání v produkční verzi, vyloučení zařízení a používání programu Play App Signing a přijmout smluvní podmínky.

Základní koncepty

Když používáte podepisování aplikací ve službě Play, pracujete se dvěma různými klíči. Abyste předešli problémům s ověřením u rozhraní API třetích stran, je důležité rozumět rozdílu mezi nimi a jejich technickým formátům.

Typ klíče Kdo ho drží? Technické podrobnosti a účel

Klíč pro nahrávání

Vy (chraňte ho!)
  • Formát: Uložen v úložišti klíčů Java (.jks nebo .keystore).
  • Požadavek: Musí se jednat o klíč RSA dlouhý alespoň 2048 bitů.
  • Účel: Tento klíč slouží k podepsání balíčku aplikace před nahráním do Play Console. Google ho používá k ověření vaší identity. Pokud by byl klíč prolomen nebo ztracen, může ho Google resetovat.
Podpisový klíč aplikace

Google Play
  • Formát: Přidružen k veřejnému certifikátu (.der nebo .pem).
  • Požadavek: Klíče vygenerované Googlem jsou klíče RSA o délce 4096 bitů. Vlastní klíče musí být klíče RSA o délce alespoň 2048 bitů.
  • Účel: Google tento klíč používá k podepisování konečných souborů APK dodávaných do zařízení uživatelů. Můžete si ho nechat vygenerovat od Googlu, nebo zadat vlastní. Pokud tento klíč spravujete sami (bez podepisování aplikací ve službě Play) a ztratíte ho, nelze ho resetovat.

Poznámka: Pro maximální zabezpečení by se klíč pro nahrávání a podpisový klíč aplikace měly lišit.

Jak Google aplikaci podepisuje: Když Google vygeneruje a podepíše vaše soubory APK pomocí podpisového klíče aplikace, přidá pomocí nástroje apksigner do manifestu aplikace dvě razítka (com.android.stamp.source a com.android.stamp.type). Tato razítka zajišťují, že lze soubory APK bezpečně vystopovat k původnímu signatáři.

Nastavení podepisování aplikací ve službě Play

Proces nastavení závisí na tom, zda publikujete novou aplikaci, nebo migrujete stávající.

Pro nové aplikace

  1. Vytvořte klíč pro nahrávání: Vygenerujte úložiště klíčů k podepsání balíčku aplikace vydání. Můžete ho vygenerovat v nástroji Android Studio nebo použít nástroj keytool pro Javu z příkazového řádku.
  2. Nahrajte balíček aplikace: Přejděte do Play Console a připravte nové vydání. Když nahrajete balíček aplikace, podepisování aplikací ve službě Play ve výchozím nastavení automaticky vygeneruje kryptograficky silný 4096bitový klíč RSA pro správu a ochranu aplikace. Toto doporučené výchozí nastavení používá více než 90 % nových aplikací a k jeho nastavení není potřeba žádná další akce.
  3. Změna podpisového klíče aplikace (volitelné): Pokročilí vývojáři, kteří chtějí spravovat vlastní klíč, mohou tuto výchozí hodnotu změnit. Můžete to provést tak, že v sekci Integrita aplikace daného vydání kliknete na Změnit podpisový klíč nebo že přejdete na Ochrana od Google Play > Distribuce v Obchodě Play > Přejít na Podepisování aplikací ve službě Play. Pak máte na výběr z těchto možností:
    • Použít stejný klíč jako jiná aplikace v tomto účtu vývojáře.
    • Poskytnout kopii podpisového klíče aplikace: Nejdříve si z Play Console stáhněte veřejný šifrovací klíč od Googlu. Poté pomocí nástroje Play Encrypt Private Key (PEPK) (zkompilovaný nástroj nebo jeho zdrojový kód si můžete stáhnout přímo z Play Console a ověřit si ho nebo si ho sami sestavit) bezpečně zašifrujte a nahrajte svůj stávající klíč RSA (2048bitový nebo delší) z libovolného repozitáře.

Stávající aplikace

Pokud v současné době spravujete vlastní klíče a nahráváte soubory APK, můžete upgradovat na podepisování aplikací ve službě Play, abyste mohli využívat výhody balíčků aplikací a vylepšení služby Play.

  1. V Play Console přejděte na Ochrana od Google Play > Distribuce v Obchodu Play > Přejít na podepisování aplikací ve službě Play.
  2. Pokud jste to ještě neudělali, přijměte smluvní podmínky.
  3. Přeneste kopii původního klíče: Stáhněte si nástroj PEPK a podle unifikovaných podrobných pokynů zašifrujte a nahrajte stávající podpisový klíč aplikace z libovolného repozitáře.
Vytvořte nový klíč pro nahrávání (doporučeno): V nástroji Android Studio vygenerujte nový klíč, který budete používat jako klíč pro nahrávání, a zaregistrujte jeho certifikát v Play Console.

Registrace u poskytovatelů rozhraní API

Pokud vaše aplikace používá rozhraní API (například Mapy Google, OAuth nebo přihlášení přes Facebook), tyto služby ji ověřují pomocí otisku podpisového klíče aplikace.

Protože konečný soubor APK podepisuje Google, musíte u poskytovatelů rozhraní API zaregistrovat otisk podpisového klíče aplikace, který vlastní Google, a ne jen místní klíč pro nahrávání.

  1. Přejděte na Ochrana od Google Play > Distribuce v Obchodu Play > Přejít na podepisování aplikací ve službě Play.
  2. Přejděte do sekce Podpisový klíč aplikace.
  3. Zkopírujte požadované otisky (SHA-1 nebo SHA-256).
  4. Tyto otisky prstů vložte do konzole poskytovatele rozhraní API (například Google Cloud Console).
    Tip: Pokud používáte funkci Android App Links, aktualizujte soubor assetlinks.json o tyto otisky prstů.

Správa klíčů

Upgradujte podpisový klíč aplikace

Pokud byl váš podpisový klíč aplikace kompromitován nebo potřebujete kryptograficky silnější klíč, můžete požádat o roční upgrade klíče pro všechny instalace na Androidu N (úroveň rozhraní API 24) a vyšším.

Jak vymáhání funguje v různých verzích Androidu:

  • Android T (úroveň rozhraní API 33) a vyšší: Platforma Android striktně vynucuje použití upgradovaného klíče.
  • Android N (úroveň rozhraní API 24) až Android S (úroveň rozhraní API 32): Platforma Android sama nevynucuje použití upgradovaného klíče a stále uznává starší podpisový klíč. Služba Google Play Protect ale poskytuje další ověření tím, že kontroluje, zda jsou aktualizace aplikací podepsány upgradovaným klíčem (pokud uživatel tuto funkci nevypne).

Důležitá poznámka:

  • Sdílená data: Protože platforma nevynucuje na Androidu S (úroveň rozhraní API 32) a nižších verzích použití upgradovaného klíče, pokud používáte stejný klíč pro více aplikací ke sdílení dat, tyto starší verze Androidu budou pro funkce, jako je sdílení vlastních oprávnění, rozpoznávat pouze starší klíč.

Jak upgradovat:

  1. Přejděte na Ochrana od Google Play > Distribuce v Obchodu Play > Přejít na podepisování aplikací ve službě Play.
  2. V sekci Podpisový klíč aplikace klikněte na Upgradovat klíč.
  3. Vyberte si způsob upgradu:
    • Nechat Google Play vygenerovat nový podpisový klíč aplikace (doporučeno)
    • Použít stejný podpisový klíč aplikace jako jiná aplikace v tomto účtu vývojáře
    • Poskytněte kopii podpisového klíče aplikace (podle pokynů).
  4. Pokud poskytujete svůj vlastní klíč, vygenerujte a nahrajte „důkaz o vlastnictví starého i nového klíče“ – pomocí nástroje apksigner (který je součástí sady Android SDK Build Tools). (Podrobnosti o zde použitých příznacích najdete v dokumentaci k příkazovému řádku nástroje apksigner):
    • apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
  5. Klikněte na Uložit a zaregistrujte nové otisky klíčů u poskytovatelů rozhraní API.

Žádost o resetování klíče pro nahrávání

Pokud klíč pro nahrávání ztratíte nebo máte podezření, že byl prolomen, k aplikaci se dál dostanete.

  1. V nástroji Android Studio vytvořte nový klíč pro nahrávání.
  2. Exportujte certifikát do formátu PEM:
    keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
    (Další nápovědu k nástroji keytool a cestám k repozitáři klíčů najdete v průvodci podepisováním aplikací v Android Studiu).
  3. Nechte vlastníka účtu požádat prostřednictvím formuláře v nápovědě Play Console o resetování klíče pro nahrávání.
  4. Až k tomu budete vyzváni, nahrajte soubor upload_certificate.pem.
    Poznámka: Resetování klíče pro nahrávání nemá vliv na podpisový klíč aplikace ani na uživatele.

Doporučené postupy a alternativní distribuce

  • Zabezpečení: Chraňte svůj přístup k Play Console tím, že budete u všech uživatelů vyžadovat dvoufázové ověření.
  • Vylepšení služby Play: Registrací do podepisování aplikací ve službě Play získáte pro své balíčky aplikací přístup k vylepšením služby Play. Pokud chcete obdržet aktualizace, nejdříve při vytváření nového vydání proveďte potřebné změny a poté nahrajte nový balíček aplikace.
  • Distribuce mimo Google Play: Pokud aplikaci distribuujete prostřednictvím jiných obchodů s aplikacemi a chcete všude používat stejný podpisový klíč, máte dvě možnosti. Můžete buď nechat Google vygenerovat podpisový klíč aplikace a k distribuci jinde si stáhnout podepsaný univerzální soubor APK z nejnovějších vydání a balíčků (přejděte na Testování a vydání > Nejnovější vydání a balíčky, vyberte balíček aplikace a klikněte na kartu Stažení), nebo můžete vygenerovat podpisový klíč aplikace, který chcete používat pro všechny obchody s aplikacemi, a při konfiguraci podepisování aplikací ve službě Play nahrát jeho kopii do Googlu.
  • Testování: Pomocí interního sdílení aplikací otestujte, co přesně bude Google Play uživatelům doručovat, nebo si z průzkumníku balíčků aplikací stáhněte soubory APK pro konkrétní zařízení a nainstalujte je místně pomocí příkazu adb install-multiple *.apk.
  • Schéma podpisu balíčku APK verze 4: Podepisování aplikací ve službě Play používá u způsobilých aplikací automaticky podepisování verze 4, aby podporovalo optimalizovanou distribuci na zařízeních s Androidem 11 nebo novějším. Nemusíte podnikat žádnou akci. Další informace o technických výhodách najdete v dokumentaci ke schématu podpisu balíčku APK verze 4.
  • Samostatně hostované projekty Google Cloud: Pokud máte velmi specifické bezpečnostní požadavky (například používáte klíče OEM), můžete se do podepisování aplikací ve službě Play zaregistrovat pomocí rozhraní Play Developer API a samostatně hostovaného projektu Google Cloud. Poznámka: Jedná se o nestandardní nastavení, které nedoporučujeme. Používání samostatně hostovaného projektu znamená, že přebíráte plnou odpovědnost za operace podepisování aplikací a Google Play nemůže provádět základní funkce, jako je obnovení po havárii.

Pomohly vám tyto informace?

Jak bychom článek mohli vylepšit?

Potřebujete další pomoc?

Vyzkoušejte tyto další kroky:

Kontaktujte nás Řekněte nám víc a my vám pomůžeme
true
Vyhledávání
Vymazat vyhledávání
Zavřít vyhledávání
Aplikace Google
Hlavní nabídka
7172173246893623311
true
Prohledat Centrum nápovědy
false
true
true
true
true
true
92637
false
false
false
false
false