Die Play App-Signatur verwenden

Mit der Play App-Signatur verwaltet und schützt Google den Signaturschlüssel Ihrer App in derselben sicheren Infrastruktur, die Google für seine eigenen Schlüssel nutzt. Diese Schlüssel sind durch den Key Management Service (KMS) von Google geschützt. Weitere Informationen zu dieser branchenführenden Infrastruktur finden Sie im Whitepaper zum Thema Sicherheit in der Google Cloud.

Vorteile der Play App-Signatur Die Registrierung für die Play App-Signatur schützt Ihre Schlüssel nicht nur vor dauerhaftem Verlust oder Missbrauch, sondern ermöglicht auch die Nutzung von Google Play-Optimierungen für Ihre Android App Bundles (.aab). Wenn Sie die optimierten Vertriebs-APKs, die aus Ihren App-Bundles generiert werden, von Google signieren lassen, erhalten Sie Zugriff auf wertvolle Dienste wie automatischen Schutz und automatische Übersetzung von Strings mit Gemini-Modellen. Spiele erhalten Zugriff auf zusätzliche automatische Dienste wie Play Games Sidekick, Play-as-you-download und kostenlose Testzeiträume für kostenpflichtige Titel.

Damit Sie die Play App-Signatur konfigurieren können, müssen Sie Kontoinhaber sein oder die Berechtigung Produktionsversionen veröffentlichen, Geräte ausschließen und die Play App-Signatur verwenden haben und den Nutzungsbedingungen zustimmen.

Zentrale Konzepte

Wenn Sie die Play App-Signatur verwenden, haben Sie es mit zwei verschiedenen Schlüsseln zu tun. Es ist wichtig, den Unterschied und die technischen Formate zu kennen, um Authentifizierungsprobleme mit Drittanbieter-APIs zu vermeiden.

Schlüsseltyp	Wer ist der Inhaber?	Technische Details und Zweck
Uploadschlüssel	Sie (Bewahren Sie ihn an einem sicheren Ort auf.)	Format: In einem Java-Schlüsselspeicher (`.jks` oder `.keystore`) gespeichert. Anforderung: Muss ein RSA-Schlüssel mit einer Mindestgröße von 2.048 Bit sein. Zweck: Mit diesem Schlüssel signieren Sie Ihr App Bundle, bevor Sie es in die Play Console hochladen. Google verwendet ihn, um Ihre Identität zu bestätigen. Wenn der Schlüssel manipuliert wurde oder verloren gegangen ist, kann Google ihn für Sie zurücksetzen.
App-Signaturschlüssel	Google Play	Format: Muss mit einem öffentlichen Zertifikat (`.der` oder `.pem`) verknüpft sein. Anforderung: Von Google generierte Schlüssel sind RSA-Schlüssel mit 4.096 Bit. Benutzerdefinierte Schlüssel müssen RSA-Schlüssel mit mindestens 2.048 Bit sein. Zweck: Google verwendet diesen Schlüssel zum Signieren der endgültigen APKs, die an die Geräte der Nutzer gesendet werden. Sie können Google ihn generieren lassen oder selbst angeben. Wenn Sie den Schlüssel selbst verwalten (ohne Play App-Signatur) und verlieren, kann er nicht zurückgesetzt werden.

Hinweis: Aus Sicherheitsgründen sollten sich Ihr Uploadschlüssel und Ihr App-Signaturschlüssel unterscheiden.

So signiert Google Ihre App: Wenn Google Ihre APKs mit dem App-Signaturschlüssel generiert und signiert, verwendet es „apksigner“, um dem Manifest Ihrer App zwei Stempel hinzuzufügen (com.android.stamp.source und com.android.stamp.type). Diese Stempel sorgen dafür, dass Ihre APKs sicher auf den ursprünglichen Unterzeichner zurückgeführt werden können.

Die Funktion „Play App-Signatur“ einrichten

Der Einrichtungsprozess hängt davon ab, ob Sie eine neue App veröffentlichen oder eine vorhandene migrieren.

Bei neuen Apps

Uploadschlüssel erstellen: Generieren Sie einen Schlüsselspeicher, um Ihr Release-App-Bundle zu signieren. Sie können ihn in Android Studio generieren oder das Java-Schlüsseltool über die Befehlszeile verwenden.
App-Bundle hochladen: Rufen Sie die Play Console auf und bereiten Sie eine Neuveröffentlichung vor. Wenn Sie Ihr App-Bundle hochladen, wird mit der Play App-Signatur standardmäßig automatisch ein starker kryptografischer RSA-Schlüssel mit einer Länge von 4.096 Bit generiert, um Ihre App zu verwalten und zu schützen. Über 90 % der neuen Apps verwenden diese empfohlene Standardeinstellung. Für die Einrichtung sind keine weiteren Maßnahmen erforderlich.
App-Signaturschlüssel ändern (optional): Fortgeschrittene Entwickler, die ihren eigenen Schlüssel verwalten möchten, können diese Standardeinstellung ändern. Klicken Sie dazu im Abschnitt App-Integrität Ihres Releases auf Signaturschlüssel ändern oder rufen Sie Mit Google Play geschützt > Google Play Store-Vertrieb > Play App-Signatur aufrufen auf. Sie haben dann folgende Möglichkeiten:
- Denselben Schlüssel wie eine andere App in diesem Entwicklerkonto verwenden
- Kopie Ihres App-Signaturschlüssels bereitstellen: Laden Sie zuerst den öffentlichen Verschlüsselungsschlüssel von Google aus der Play Console herunter. Verwenden Sie dann das PEPK-Tool (Play Encrypt Private Key). Sie können das kompilierte Tool oder den Quellcode direkt aus der Console herunterladen, um es selbst zu überprüfen oder zu erstellen. Damit können Sie Ihren vorhandenen RSA-Schlüssel (2048 Bit oder höher) aus einem beliebigen Repository sicher verschlüsseln und hochladen.

Für vorhandene Apps

Wenn Sie derzeit Ihre eigenen Schlüssel verwalten und APKs hochladen, können Sie auf die Play App-Signatur umstellen, um App-Bundles und Play-Optimierungen zu nutzen.

Rufen Sie in der Play Console Mit Google Play geschützt > Google Play Store-Vertrieb > Play App-Signatur aufrufen auf.
Akzeptieren Sie die Nutzungsbedingungen, falls Sie das noch nicht getan haben.
Kopie des ursprünglichen Schlüssels übertragen: Laden Sie das PEPK-Tool herunter und folgen Sie der einheitlichen detaillierten Anleitung, um Ihren vorhandenen App-Signaturschlüssel aus einem beliebigen Repository zu verschlüsseln und hochzuladen.

Neuen Uploadschlüssel erstellen (empfohlen): Generieren Sie in Android Studio einen neuen Schlüssel, den Sie künftig als Uploadschlüssel verwenden, und registrieren Sie das zugehörige Zertifikat in der Play Console.

Bei API-Anbietern registrieren

Wenn Ihre App APIs wie Google Maps, OAuth oder Facebook Login verwendet, authentifizieren diese Dienste Ihre App mit dem Fingerabdruck Ihres App-Signaturschlüssels.

Da Google das endgültige APK signiert, müssen Sie den Fingerabdruck des von Google verwalteten App-Signaturschlüssels bei Ihren API-Anbietern registrieren und nicht nur Ihren lokalen Uploadschlüssel.

Rufen Sie Mit Google Play geschützt > Google Play Store-Vertrieb > Play App-Signatur aufrufen auf.
Scrollen Sie zum Abschnitt App-Signaturschlüssel.
Kopieren Sie die erforderlichen Fingerabdrücke (SHA‑1 oder SHA‑256).
Fügen Sie diese Fingerabdrücke in die Konsole Ihres API-Anbieters ein, z. B. in die Google Cloud Console.
Tipp: Aktualisieren Sie Ihre Datei „assetlinks.json“ mit diesen Fingerabdrücken, wenn Sie Android-App-Links verwenden.

Schlüssel verwalten

App-Signaturschlüssel aktualisieren

Wenn Ihr App-Signaturschlüssel manipuliert wurde oder Sie einen kryptografisch stärkeren Schlüssel benötigen, können Sie einmal pro Jahr eine Schlüsselaktualisierung für alle Installationen unter Android N (API-Level 24) und höher anfordern.

So funktioniert die Durchsetzung in den verschiedenen Android-Versionen:

Android T (API-Level 33) und höher: Die Android-Plattform erzwingt die Verwendung des aktualisierten Schlüssels.
Android N (API-Level 24) bis Android S (API-Level 32): Die Android-Plattform selbst erzwingt die Verwendung des aktualisierten Schlüssels nicht und erkennt weiterhin den alten Signaturschlüssel. Google Play Protect bietet jedoch eine zusätzliche Validierung, indem geprüft wird, ob App-Updates mit dem aktualisierten Schlüssel signiert sind (sofern der Nutzer dies nicht deaktiviert hat).

Wichtiger Hinweis:

Weitergegebene Daten: Da die Plattform den aktualisierten Schlüssel unter Android S (API-Level 32) und niedriger nicht erzwingt, wird bei Verwendung desselben Schlüssels für mehrere Apps zum Weitergeben von Daten auf diesen älteren Android-Versionen nur der alte Schlüssel für Funktionen wie die Freigabe benutzerdefinierter Berechtigungen erkannt.

So führen Sie ein Upgrade aus:

Rufen Sie Mit Google Play geschützt > Google Play Store-Vertrieb > Play App-Signatur aufrufen auf.
Klicken Sie im Abschnitt „App-Signaturschlüssel“ auf Schlüssel aktualisieren.
Wählen Sie den gewünschten Upgradepfad aus:
- Google Play einen neuen App-Signaturschlüssel generieren lassen (empfohlen)
- Denselben App-Signaturschlüssel wie für eine andere App in diesem Entwicklerkonto verwenden
- Kopie Ihres App-Signaturschlüssels bereitstellen (Anleitung beachten)
Wenn Sie einen eigenen Schlüssel bereitstellen, generieren und laden Sie mit dem Tool „apksigner“ (im Lieferumfang der Android SDK Build Tools enthalten) einen „Rotationsnachweis“ hoch. Weitere Informationen zu den hier verwendeten Flags finden Sie in der Befehlszeilendokumentation für apksigner:
- apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
Klicken Sie auf Speichern und registrieren Sie Ihre neuen Schlüssel-Fingerabdrücke bei Ihren API-Anbietern.

Zurücksetzung des Uploadschlüssels anfordern

Wenn Sie Ihren Uploadschlüssel verlieren oder vermuten, dass er manipuliert wurde, können Sie weiterhin auf Ihre App zugreifen.

Erstellen Sie einen neuen Uploadschlüssel in Android Studio.
Exportieren Sie das Zertifikat in das PEM-Format:
keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
Weitere Informationen zu „keytool“ und zu Schlüsselspeicherpfaden finden Sie im Android Studio-Leitfaden zum App-Signieren.
Lassen Sie den Kontoinhaber das Zurücksetzen des Uploadschlüssels über das Play Console-Hilfeformular beantragen.
Laden Sie die Datei upload_certificate.pem hoch, wenn Sie dazu aufgefordert werden.
Hinweis: Das Zurücksetzen des Uploadschlüssels hat keinen Einfluss auf den App-Signaturschlüssel oder Ihre Nutzer.

Best Practices und alternative Bereitstellung

Sicherheit: Schützen Sie Ihren Play Console-Zugriff, indem Sie die Bestätigung in zwei Schritten für alle Nutzer erzwingen.
Play-Optimierungen: Wenn Sie sich für die Play App-Signatur anmelden, erhalten Sie Zugriff auf Play-Optimierungen für Ihre App-Bundles. Wenn Sie die Updates erhalten möchten, müssen Sie zuerst beim Erstellen einer Neuveröffentlichung alle erforderlichen Änderungen vornehmen und dann das neue App-Bundle hochladen.
Vertrieb außerhalb von Google Play: Wenn Sie Ihre App über andere App-Shops vertreiben und überall denselben Signaturschlüssel verwenden möchten, haben Sie zwei Möglichkeiten. Sie können entweder Google Ihren App-Signaturschlüssel generieren lassen und ein signiertes, universelles APK aus den neuesten Releases und Bundles herunterladen, um es anderweitig zu vertreiben (gehen Sie zu Testen und veröffentlichen > Neueste Releases und Bundles, wählen Sie Ihr App-Bundle aus und klicken Sie auf den Tab Downloads), oder Sie können den App-Signaturschlüssel generieren, den Sie für alle App-Shops verwenden möchten, und eine Kopie davon an Google übertragen, wenn Sie die Play App-Signatur konfigurieren.
Testen: Mit der internen App-Freigabe können Sie genau testen, was Google Play an Nutzer ausliefert. Alternativ können Sie gerätespezifische APKs aus dem App Bundle Explorer herunterladen und sie lokal mit „adb install-multiple *.apk“ installieren.
APK-Signaturschema v4: Die Play App-Signatur verwendet automatisch die v4-Signatur für berechtigte Apps, um die optimierte Bereitstellung auf Geräten mit Android 11 oder höher zu unterstützen. Es besteht von Ihrer Seite kein Handlungsbedarf. Weitere Informationen zu den technischen Vorteilen finden Sie in der Dokumentation zum APK-Signaturschema v4.
Selbst gehostete Google Cloud-Projekte: Wenn Sie sehr spezifische Sicherheitsanforderungen haben (z. B. die Verwendung von OEM-Schlüsseln), können Sie sich über die Play Developer API mit einem selbst gehosteten Google Cloud-Projekt für die Play-App-Signatur registrieren. Hinweis: Dies ist eine nicht standardmäßige Einrichtung, die nicht empfohlen wird. Wenn Sie ein selbst gehostetes Projekt verwenden, übernehmen Sie die volle Verantwortung für die App-Signaturvorgänge. Außerdem kann Google Play dann keine wichtigen Funktionen wie die Notfallwiederherstellung ausführen.

War das hilfreich?

Wie können wir die Seite verbessern?