Brug Play-appsignatur

Med Play-appsignatur administrerer og beskytter Google signaturnøglen for din app på dine vegne og bruger den til at signere optimerede APK-filer til distribution, der genereres fra dine app-pakker. Play-appsignatur gemmer din appsignaturnøgle i Googles sikre infrastruktur og giver muligheder for opgradering med henblik på at øge sikkerheden.

Hvis du vil bruge Play-appsignatur, skal du være kontoejer eller bruger med tilladelsen Udgiv til produktion, udeluk enheder, og brug Play-appsignatur, og du skal acceptere servicevilkårene for Play-appsignatur.

Sådan fungerer det

Når du bruger Play-appsignatur, gemmes dine nøgler i den samme sikre infrastruktur, som Google bruger til at gemme sine egne nøgler. Nøglerne beskyttes af Googles Key Management Service. Du kan få flere oplysninger om Googles infrastruktur ved at læse sikkerhedsrapporten for Google Cloud.

Android-apps signeres med en privat nøgle. Hver privat nøgle har et tilhørende offentligt certifikat, som enheder og tjenester bruger til at bekræfte, at appopdateringen kommer fra den samme kilde. På denne måde sikres det, at appopdateringerne er pålidelige. Enheder accepterer kun opdateringer, hvis deres signatur matcher signaturen for den installerede app. Når du lader Google administrere din appsignaturnøgle, hjælper du samtidig med at øge sikkerheden ved denne proces.

Bemærk! Hvis du har apps, der er oprettet før august 2021, kan du stadig uploade en APK-fil og administrere dine egne nøgler i stedet for at bruge Play-appsignatur og udgive med en Android App Bundle. Hvis du mister dit nøglelager, eller hvis det bliver kompromitteret, kan du ikke opdatere din app uden at udgive en ny app med et nyt pakkenavn. Play anbefaler at bruge Play-appsignatur og skifte til app-pakker for disse apps.

Beskrivelser af nøgler, artefakter og værktøjer
Term Beskrivelse
Appsignaturnøgle

Den nøgle, som Google Play bruger til at signere de APK-filer, der leveres til en brugers enhed. Når du bruger Play-appsignatur, kan du enten uploade en eksisterende appsignaturnøgle eller anmode Google om at generere en for dig.

Din appsignaturnøgle skal holdes hemmelig, men du kan dele det offentlige certifikat for din app med andre.

Uploadnøgle

Den nøgle, du bruger til at signere din app-pakke, inden du uploader den til Google Play. Din uploadnøgle skal holdes hemmelig, men du kan dele din apps offentlige certifikat med andre. Af sikkerhedsmæssige årsager er det en god idé at sørge for, at appsignaturnøgler og uploadnøgler ikke er ens.

Du kan generere en uploadnøgle på to måder:

  • Brug din appsignaturnøgle: Hvis du får Google til at generere en appsignaturnøgle, er den nøgle, du bruger til din første udgivelse, også din uploadnøgle.
  • Brug en separat uploadnøgle: Hvis du angiver din egen appsignaturnøgle, får du mulighed for at generere en ny uploadnøgle for at øge sikkerheden. Hvis du ikke genererer en nøgle, skal du bruge din appsignaturnøgle som uploadnøgle til at signere udgivelser.
Certifikat (.der eller .pem)

Et certifikat indeholder en offentlig nøgle og yderligere identificerende oplysninger om, hvem der ejer nøglen. Certifikatet til offentlig nøgle giver alle mulighed for at bekræfte, hvem der har signeret app-pakken eller APK-filen, og du kan dele det med hvem som helst, fordi det ikke indeholder din private nøgle.

Hvis du vil registrere dine nøgler hos API-udbydere, kan du downloade det offentlige certifikat til din appsignaturnøgle og din uploadnøgle på siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet) i Play Console. Certifikatet til en offentlig nøgle kan deles med alle. Det indeholder ikke din private nøgle.

Fingeraftryk for certifikater

En kort og unik repræsentation af et certifikat, som API-udbydere ofte anmoder om sammen med pakkenavnet for at registrere en app til brug af udbyderens tjeneste.

MD5-, SHA-1- og SHA-256-fingeraftryk for upload- og appsignaturcertifikater findes på siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet) i Play Console. Andre fingeraftryk kan også genereres ved at downloade det originale certifikat (.der) på samme side.

Java-nøglelager (.jks eller .keystore) Et lager af sikkerhedscertifikater og private nøgler.
Værktøjet PEPK (Play Encrypt Private Key)

Et værktøj, der bruges til at eksportere private nøgler fra et Java-nøglelager og kryptere dem til overførsel til Google Play.

Når du angiver appsignaturnøglen, som Google skal bruge, skal du vælge at eksportere og uploade din nøgle (og om nødvendigt dens offentlige certifikat) og derefter følge vejledningen for at downloade og bruge værktøjet. Hvis du foretrækker det, kan du downloade, gennemgå og bruge PEPK-værktøjets open source-kode.

Appsignaturproces

Sådan fungerer det:

  1. Signer din app-pakke, og upload den til Play Console.
  2. Google genererer optimerede APK-filer fra din app-pakke og signerer dem med appsignaturnøglen.
  3. Google bruger apksigner til at føje to stempler til din apps manifest (com.android.stamp.source og com.android.stamp.type) og signerer derefter APK-filerne med din appsignaturnøgle. Stempler, der tilføjes af apksigner, gør det muligt at spore APK-filer for at se, hvem der har signeret filerne.
  4. Google leverer de signerede APK-filer til brugerne.

Konfigurer Play-appsignatur

Vejledning for apps, der er oprettet efter august 2021

Trin 1: Opret en uploadnøgle

  1. Følg denne vejledning for at oprette en uploadnøgle.
  2. Signer din app-pakke med uploadnøglen.

Trin 2: Forbered din udgivelse

  1. Følg vejledningen for at forberede og udrulle din udgivelse.
  2. Når du har valgt et udgivelsesspor, vises status for Play-appsignatur for din app i sektionen "Appintegritet".
  3. Upload din app-pakke for at fortsætte med en Google-genereret appsignaturnøgle. Du kan også vælge Skift appsignaturnøgle for at få adgang til følgende valgmuligheder:
    • Brug en Google-genereret appsignaturnøgle: Mere end 90 % af alle nye apps bruger Google-genererede appsignaturnøgler. Brug af en Google-genereret nøgle beskytter mod tab og kompromittering, da nøglen ikke kan downloades. Hvis du vælger denne mulighed, kan du downloade APK-filer til distribution fra App Bundle Explorer, der er signeret med den Google-genererede nøgle, til andre distributionskanaler, eller bruge en anden nøgle til dem.
    • Brug en anden appsignaturnøgle: Hvis du vælger appsignaturnøglen, kan du bruge den samme nøgle som en anden app på din udviklerkonto eller gemme en lokal kopi af din appsignaturnøgle for at få øget fleksibilitet. Du kan f.eks. allerede have besluttet dig for en nøgle, fordi din app er forudinstalleret på nogle enheder. Hvis du har en kopi af din nøgle uden for Googles servere, kan det udgøre en øget risiko, hvis den lokale kopi bliver kompromitteret. Du har følgende muligheder for at bruge en anden nøgle:
      • Brug den samme appsignaturnøgle som en anden app på denne udviklerkonto
      • Eksportér og upload en nøgle fra et Java-nøglelager
      • Eksportér og upload en nøgle (uden at bruge et Java-nøglelager)
  4. Følg resten af vejledningen for at forberede og udrulle din udgivelse.

Bemærk! Du skal acceptere servicevilkårene og tilvælge appsignatur for at fortsætte.

Trin 3: Registrer din appsignaturnøgle hos API-udbydere

Hvis din app anvender API'er, skal du normalt registrere din appsignaturnøgle hos dem af godkendelsesmæssige årsager. Dette gøres ved hjælp af fingeraftrykket for certifikatet. Sådan finder du certifikatet:

  1. Åbn Play Console, og gå til siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet).
  2. Rul til sektionen "Appsignaturnøglens certifikat", og kopiér fingeraftrykkene (MD5, SHA-1 og SHA-256) for dit appsignaturcertifikat.
    • Hvis API-udbyderen kræver en anden type fingeraftryk, kan du også downloade det oprindelige certifikat i formatet .der og konvertere det ved hjælp af de forandringsværktøjer, der kræves af API-udbyderen.
Krav til appsignaturnøgler

Når du bruger en Google-genereret nøgle, genererer Google automatisk en kryptografisk stærk RSA-nøgle, der er 4096 bit. Hvis du vælger at uploade din egen appsignaturnøgle, skal den være en RSA-nøgle på mindst 1024 bit.

Vejledning for apps, der er oprettet før august 2021

Trin 1: Konfigurer Play-appsignatur

  1. Åbn Play Console, og gå til siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet).
  2. Hvis du ikke allerede har gjort det, skal du gennemgå servicevilkårene for Play-appsignatur og vælge Acceptér.

Trin 2: Send en kopi af din oprindelige nøgle til Google, og opret en uploadnøgle

  1. Find din oprindelige appsignaturnøgle.
  2. Åbn Play Console, og gå til siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet).
  3. Vælg den løsning til eksport og upload, som bedst passer til din udgivelsesproces, og upload en eksisterende appsignaturnøgle.

Trin 3: Opret en uploadnøgle (valgfrit og anbefalet)

  1. Opret en uploadnøgle, og upload certifikatet til Google Play.
    • Du kan også fortsætte med at bruge appsignaturnøglen som uploadnøgle.
  2. Kopiér fingeraftrykkene (MD5, SHA-1 og SHA-256) for dit appsignaturcertifikat.
    • I forbindelse med tests skal du muligvis registrere certifikatet for din uploadnøgle hos API-udbydere ved hjælp af fingeraftrykket for certifikatet og appsignaturnøglen.

Trin 4: Signer din næste appopdatering med uploadnøglen

Når du udgiver opdateringer til din app, skal du signere dem med din uploadnøgle.

  • Hvis du ikke har genereret en ny uploadnøgle: Fortsæt med at bruge din oprindelige appsignaturnøgle til at signere app-pakker, inden du uploader dem til Google Play. Hvis du mister din originale appsignaturnøgle, kan du generere en ny uploadnøgle og registrere den hos Google for at fortsætte med at opdatere din app.
  • Hvis du har genereret en ny uploadnøgle: Brug din nye uploadnøgle til at signere app-pakker, inden du uploader dem til Google Play. Google bruger uploadnøglen til at bekræfte din identitet. Hvis du mister din uploadnøgle, kan du kontakte support for at nulstille den.

Opret en uploadnøgle, og opdater nøglelagre

For at øge sikkerheden anbefales det, at du signerer din app med en ny uploadnøgle i stedet for din appsignaturnøgle.

Du kan oprette en uploadnøgle, når du tilvælger Play-appsignatur, eller du kan oprette en uploadnøgle på et senere tidspunkt ved at gå til siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet).

Sådan opretter du en uploadnøgle:

  1. Følg vejledningen på websitet for Android-udviklere. Opbevar din nøgle på et sikkert sted.
  2. Eksportér certifikatet for uploadnøglen til PEM-format. Erstat følgende understregede argumenter:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Upload certifikatet for at registrere det hos Google, når du bliver bedt om det under udgivelsesprocessen.

Når du bruger en uploadnøgle:

  • Din uploadnøgle registreres kun hos Google for at godkende identiteten på appens udvikler.
  • Din signatur fjernes fra alle uploadede APK-filer, inden de sendes til brugerne.
Krav til uploadnøgler
  • Den skal være en RSA-nøgle på mindst 2048 bit.
Opdater nøglelagre

Følgende er placeringer, som det kan være en god idé at tjekke og opdatere, når du har oprettet en uploadnøgle:

  • Lokale maskiner
  • Låst fysisk server (varierende adgangskontrollister)
  • Cloud-computer (varierende adgangskontrollister)
  • Dedikerede tjenester til administration af hemmeligheder
  • (Git)-lagre

Opgrader din appsignaturnøgle til nye installationer

I nogle tilfælde kan du anmode om en opgradering af appsignaturnøglen. Den nye nøgle bruges til at signere nye installationer og appopdateringer. Den gamle appsignaturnøgle bruges stadig til signering af opdateringer til de brugere, der har installeret appen inden opgraderingen af nøglen.

Appsignaturnøglen kan kun opgraderes én gang for en app i hele dens levetid. I det usandsynlige tilfælde, at du har flere apps, der bruger den samme signaturnøgle til at køre i den samme proces, kan du ikke opgradere nøgler for disse apps.

Her er nogle grunde til at anmode om opgradering af en appsignaturnøgle:

  • Du har brug for en kryptografisk stærkere nøgle.
  • Din appsignaturnøgle er blevet kompromitteret.

Bemærk! Anmodning om opgradering af en appsignaturnøgle i Play Console er ikke relateret til nøgleudskiftning, som blev introduceret i version 3 af APK-signaturskemaet til Android P og nyere versioner. Denne type nøgleudskiftning understøttes ikke på nuværende tidspunkt i Google Play.

Vigtige overvejelser, inden du anmoder om en nøgleopgradering

Før du anmoder om en nøgleopgradering, er det vigtigt at forstå de ændringer, du måske skal foretage, når opgraderingen er udført.

  • Hvis du bruger den samme appsignaturnøgle til flere apps for at dele data eller kode mellem disse apps, skal du opdatere dine apps, så de genkender både de nye og de gamle certifikater for appsignaturnøglen.
  • Hvis din app anvender API'er, skal du sørge for at registrere certifikaterne for din nye og gamle appsignaturnøgle hos API-udbydere, før du udgiver en opdatering. Dette skal gøres for at sikre, at API'erne fortsat fungerer. Certifikaterne er tilgængelige på siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet) i Play Console.  
  • Hvis nogen af dine brugere installerer opdateringer via P2P-deling, kan de kun installere opdateringer, der er signeret med den samme nøgle som den version af din app, de allerede har installeret. Hvis de ikke kan opdatere deres app, fordi deres version af appen er signeret med en anden nøgle, kan de afinstallere og geninstallere appen for at få opdateringen.
Anmod om en nøgleopgradering til nye installationer
  1. Åbn Play Console, og gå til siden Play-appsignatur (Udgivelse > Konfigurer > Appintegritet).
  2. Vælg "Anmod om opgradering af nøgle" på kortet "Opgrader din appsignaturnøgle til nye installationer".
  3. Vælg en af mulighederne.
    • Afhængigt af den mulighed, du vælger, skal du muligvis kontakte support for at fuldføre din anmodning.
  4. Få Google til at generere en ny appsignaturnøgle (anbefales), eller upload en.
    • Hvis du har brugt den samme nøgle til appsignatur og upload, kan du fortsætte med at bruge din gamle appsignaturnøgle som uploadnøgle eller generere en ny, når du har opgraderet din appsignaturnøgle.
  5. Hvis det er nødvendigt, skal du registrere din nye appsignaturnøgle hos API-udbyderne.

Optimale løsninger

  • Hvis du også distribuerer din app uden for Google Play eller planlægger at gøre det på et senere tidspunkt, og du vil bruge den samme signaturnøgle, har du to muligheder:
    • Du kan enten lade Google generere nøglen (anbefales) og derefter downloade en signeret, universel APK fra App Bundle Explorer for at distribuere uden for Google Play.
    • Du kan også generere den appsignaturnøgle, du vil bruge til alle appbutikker, og derefter overføre en kopi af den til Google, når du konfigurerer Play-appsignatur.
  • Beskyt din konto ved at aktivere totrinsbekræftelse for konti med adgang til Play Console.
  • Når du har udgivet en app-pakke til et udgivelsesspor, kan du gå til App Bundle Explorer for at få adgang til installerbare APK-filer, som Google genererer fra din app-pakke. Du kan gøre følgende:
    • Kopiere og dele et link til intern appdeling, så du med et enkelt tryk kan teste, hvad Google Play ville installere fra din app-pakke på forskellige enheder.
    • Downloade en signeret universel APK-fil. Denne ene APK-fil er signeret med den appsignaturnøgle, som Google har, og kan installeres på alle enheder, som din app understøtter.
    • Downloade en zip-fil med alle APK-filerne for en bestemt enhed. Disse APK-filer er signeret med den appsignaturnøgle, som Google har, og du kan installere APK-filerne i zip-filen på en enhed ved hjælp af kommandoen adb install-multiple *.apk.
  • Hvis du vil øge sikkerheden, kan du generere en ny uploadnøgle, som adskiller sig fra din appsignaturnøgle.
  • Hvis du bruger en Google API, kan det være en god idé at registrere certifikaterne for uploadnøglen og appsignaturnøglen i Google Cloud Console for din app.

Mistet eller kompromitteret uploadnøgle?

Hvis du har mistet din private uploadnøgle, eller hvis den er blevet kompromitteret, kan du oprette en ny og derefter bede kontoejeren om at kontakte support for at nulstille nøglen. Når du kontakter support, skal du sørge for, at kontoejeren vedhæfter filen upload_certificate.pem.

Når vores supportteam har registreret den nye uploadnøgle, modtager du en mail, hvorefter du kan opdatere dine nøglelagre og registrere din nøgle hos API-udbydere.

Vigtigt! Nulstilling af din uploadnøgle påvirker ikke den appsignaturnøgle, som Google Play bruger til at signere APK-filer igen, inden de leveres til brugerne.

Version 4 af APK-signaturskemaet

Enheder med Android 11 og nyere understøtter den nye version 4 af APK-signaturskemaet. Play-appsignatur begynder at udrulle signering med version 4 til udvalgte apps, så det bliver muligt at tilvælge adgang til kommende ydeevnefunktioner, der er tilgængelige på nyere enheder. Der kræves ingen handlinger fra udviklernes side, og der forventes ingen brugerpåvirkning.

 

Var disse oplysninger nyttige?
Hvordan kan vi forbedre siden?

Har du brug for mere hjælp?

Log ind for at se yderligere supportmuligheder, så du hurtigt kan løse problemet

Søgning
Ryd søgning
Luk søgning
Google-apps
Hovedmenu
Søg i Hjælp
true
92637
false