Folosește Semnarea aplicațiilor Play

Iată cum funcționează procesul:

1. semnează app bundle-ul și încarcă-l în Play Console;
2. Google generează APK-uri optimizate folosind app bundle-ul și le semnează cu cheia de semnare a aplicațiilor;
3. Google folosește apksigner pentru a adăuga două marcaje în manifestul aplicației (com.android.stamp.source și com.android.stamp.type) și semnează APK-urile cu cheia de semnare a aplicațiilor. Marcajele adăugate de apksigner fac posibilă urmărirea APK-urilor de către persoanele care le-au semnat.
4. Google trimite APK-urile semnate utilizatorilor.

Atunci când folosești o cheie generată de Google, Google generează automat o cheie RSA puternică din punct de vedere criptografic, care are 4096 de biți. Dacă alegi să încarci propria cheie de semnare a aplicațiilor, aceasta trebuie să fie o cheie RSA de 2048 de biți sau mai mult.

Pasul 1: configurează Semnarea aplicațiilor Play

1. deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Versiune > Configurare > Semnarea aplicațiilor);
   • Sfat: poți accesa această pagină și prin pagina Integritatea aplicației ( Versiune > Integritatea aplicației), care conține Serviciile de integritate și semnare care te ajută să te asiguri că utilizatorii văd aplicațiile și jocurile așa cum vrei.
2. Consultă Termenii și condițiile pentru Semnarea aplicațiilor Play și selectează Accept dacă nu ai făcut-o deja.

Pasul 2: trimite o copie a cheii inițiale la Google și creează o cheie de încărcare

1. Găsește cheia inițială pentru semnarea aplicațiilor.
2. Deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Versiune > Configurare > Integritatea aplicației).
3. Selectează opțiunea de export și de încărcare cea mai potrivită pentru procesul tău. de lansare și încarcă o cheie existentă de semnare a aplicațiilor.

Pasul 3: creează o cheie de încărcare (opțional și recomandat)

1. Creează o cheie de încărcare și încarcă certificatul pe Google Play.
   • Poți să continui să folosești cheia de semnare a aplicațiilor drept cheie de încărcare.
2. copiază amprentele digitale (MD5, SHA-1 și SHA-256) ale certificatului de semnare a aplicațiilor.
   • Pentru testare poate fi necesar să înregistrezi certificatul cheii de încărcare la furnizorii API-urilor folosind amprenta digitală a certificatului și cheia de semnare a aplicațiilor.

Pasul 4: semnează următoarea actualizare a aplicației folosind cheia de încărcare

Când lansezi actualizări pentru aplicație, trebuie să le semnezi cu cheia de încărcare.

• Dacă nu ai generat o cheie de încărcare nouă: continuă să folosești cheia inițială de semnare a aplicațiilor pentru a semna app bundle-urile înainte să le încarci pe Google Play. Dacă pierzi cheia inițială de semnare a aplicațiilor, poți să generezi o nouă cheie de încărcare și să o înregistrezi la Google pentru a continua actualizarea aplicației.
• Dacă ai generat o nouă cheie de încărcare: folosește-o pentru a semna app bundle-urile înainte să le încarci pe Google Play. Google folosește cheia de încărcare ca să-ți confirme identitatea. Dacă pierzi cheia de încărcare, contactează asistența pentru a o reseta.

Îți recomandăm să faci acest lucru dacă nu poți trimite cheia existentă. Înainte de a alege să faci upgrade cheii de semnare a aplicațiilor pentru a te înregistra, reține că:

• această opțiune va necesita o versiune dublă;
• va trebui să încarci un app bundle și un APK semnat cu cheia veche în fiecare versiune. Google Play va folosi app bundle-urile pentru a genera APK-uri semnate cu noua cheie pentru dispozitive pe Android R* (nivelul API 30) sau o versiune ulterioară. APK-urile vechi vor fi folosite pentru versiunile Android mai vechi (până la nivelul API 29).

*Dacă aplicația ta folosește sharedUserId, este recomandat să aplici upgrade-ul cheii pentru instalări și actualizări pe dispozitivele care rulează Android T (nivelul API 33) sau o versiune ulterioară. Pentru a configura această opțiune, setează o versiune minimă corectă a SDK-ului în configurația bundle-ului.

Pasul 1: încarcă noua cheie și generează și încarcă dovada rotirii

Pentru ca noua cheie să fie de încredere pe dispozitivele Android, trebuie să încarci o nouă cheie de semnare dintr-un director și să generezi și să încarci dovada rotirii:

1. deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Versiune > Configurare > Semnarea aplicațiilor);
   • Sfat: poți accesa această pagină și prin pagina Integritatea aplicației ( Versiune > Integritatea aplicației), care conține Serviciile de integritate și semnare care te ajută să te asiguri că utilizatorii văd aplicațiile și jocurile așa cum vrei;
2. selectează fila Semnarea aplicațiilor;
3. dă clic pe Afișează opțiunile avansate și selectează Folosește o nouă cheie de semnare a aplicațiilor (necesită lansări duble continue);
4. alege să folosești aceeași cheie de semnare a aplicațiilor ca altă aplicație din contul tău de dezvoltator sau să încarci o nouă cheie de semnare a aplicațiilor din Android Studio, Java KeyStore sau din alt director;
5. urmând instrucțiunile de pe ecran, descarcă și rulează instrumentul PEPK;
6. când fișierul ZIP este gata, dă clic pe Încarcă fișierul ZIP generat și încarcă-l în Play Console;
7. lângă 5. Permite ca noua cheie să fie de încredere pe dispozitivele Android încărcând dovada rotirii, dă clic pe Afișează instrucțiunile;
8. descarcă APKSigner și generează dovada rotirii rulând această comandă:
   • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
9. dă clic pe Încarcă fișierul de dovadă a rotirii și încarcă dovada rotirii generată la pasul 8;
10. dă clic pe Salvează.

• Trebuie să fie o cheie RSA de 2048 de biți sau mai mult.

Iată câteva locații pe care ți recomandăm să le verifici și actualizezi după ce creezi o cheie de încărcare:

• dispozitive locale,
• server fizic securizat (liste ACL variabile),
• computer în cloud (liste ACL variabile);
• servicii dedicate de gestionare a codurilor secrete;
• directoare (Git).

Înainte de a solicita o actualizare a cheii, este important să înțelegi schimbările pe care poate fi nevoie să le faci după finalizarea actualizării.

• Dacă folosești aceeași cheie de semnare a aplicațiilor în mai multe aplicații pentru a trimite date / cod între acestea, trebuie să îți actualizezi aplicațiile, astfel încât să recunoască atât certificatele noi ale cheii de semnare, cât și pe cele vechi. Pe dispozitivele care rulează Android S (nivelul API 32) sau o versiune anterioară, numai certificatul vechi al cheii de semnare a aplicațiilor este recunoscut de platforma Android în scopul trimiterii datelor/codului.
• Dacă aplicația ta folosește API-uri, înregistrează certificatele pentru noua și vechea cheie de semnare a aplicațiilor la furnizorii API-urilor înainte de a publica o actualizare, ca să te asiguri că API-urile vor funcționa în continuare. Certificatele sunt disponibile în pagina Semnarea aplicațiilor Play (Versiune > Configurare > Semnarea aplicațiilor) din Play Console.  
• Dacă oricare dintre utilizatori instalează actualizări prin distribuire peer-to-peer, va putea instala actualizările care sunt semnate cu aceeași cheie precum versiunea aplicației tale pe care a instalat-o deja. Dacă nu își pot actualiza aplicația deoarece au o versiune a aplicației tale care este semnată cu o cheie diferită, au opțiunea de a dezinstala și reinstala aplicația pentru a obține actualizarea.

Fiecare aplicație poate avea cheia de semnare a aplicațiilor actualizată pentru toate instalările de pe Android N (nivelul API 24) și versiunile ulterioare o singură dată pe an.

Dacă soliciți această actualizare a cheii, noua cheie va fi folosită pentru a semna toate instalările și actualizările de aplicații. Pe dispozitivele Android care rulează Android T (nivelul API 33) și versiunile ulterioare, platforma Android aplică folosirea cheii actualizate. Pe dispozitivele care rulează Android S (nivelul API 32) sau versiuni anterioare, platforma Android nu aplică folosirea acestei chei actualizate și recunoaște în continuare cheia de semnare veche drept cheie de semnare a aplicațiilor. Aici sunt incluse și funcțiile platformei Android (de exemplu, permiterea personalizată a accesului la permisiuni) care se bazează pe cheia de semnare a aplicației. Pe dispozitivele care rulează Android N (nivelul API 24) până la Android S (nivelul API 32), Google Play Protect va verifica dacă actualizările aplicațiilor sunt semnate cu cheia actualizată, cu excepția cazului în care utilizatorul le dezactivează. Astfel, se oferă o validare suplimentară, deoarece platforma Android nu aplică folosirea cheii actualizate pe dispozitivele care rulează Android S (nivelul API 32) sau versiuni anterioare.

1. deschide Play Console și accesează pagina Semnarea aplicațiilor Play (Versiune > Configurare > Semnarea aplicațiilor);
   • Sfat: poți accesa această pagină și prin pagina Integritatea aplicației ( Versiune > Integritatea aplicației), care conține Serviciile de integritate și semnare care te ajută să te asiguri că utilizatorii văd aplicațiile și jocurile așa cum vrei.
2. În cardul Actualizează cheia de semnare a aplicațiilor, selectează Solicită actualizarea cheii.
3. Selectează o opțiune pentru a actualiza cheia de semnare a aplicațiilor pentru toate instalările de pe Android N și versiunile ulterioare.
4. Alege ca Google să genereze o nouă cheie de semnare a aplicațiilor (opțiune recomandată) sau încarcă una.
   • După actualizarea cheii de semnare a aplicațiilor, dacă foloseai aceeași cheie pentru semnarea aplicațiilor drept cheie de încărcare, poți să folosești în continuare vechea cheie pentru semnarea aplicațiilor drept cheie de încărcare sau să generezi una nouă.
5. Selectează un motiv pentru solicitarea actualizării cheii de semnare a aplicațiilor.
6. Dacă este necesar, înregistrează noua cheie de semnare a aplicațiilor la furnizorii API-urilor.

Sfat: dacă distribui aplicația pe mai multe canale de distribuire și dorești să maximizezi compatibilitatea cu actualizările aplicației pentru utilizatori, trebuie să faci upgrade cheii pe fiecare canal de distribuire. Pentru compatibilitate cu upgrade-ul cheii Google Play, folosește instrumentul ApkSigner, inclus în Android SDK Build Tools (versiunea 33.0.1+):

$ apksigner sign --in ${INPUT_APK}

--out ${OUTPUT_APK}

--ks ${ORIGINAL_KEYSTORE}

--ks-key-alias ${ORIGINAL_KEY_ALIAS}

--next-signer --ks ${UPGRADED_KEYSTORE}

--ks-key-alias ${UPGRADED_KEY_ALIAS}

--lineage ${LINEAGE}

Află mai multe despre cum funcționează actualizările aplicațiilor.