Как использовать функцию подписания приложений в Google Play

Функция подписания приложений в Google Play позволяет Google защищать ваш ключ подписи, а также использовать его для оптимизированных APK-файлов, которые создаются из наборов App Bundle и предназначаются для распространения приложений. Ключ подписи хранится в надежной инфраструктуре Google, где его можно обновить, если нужно повысить уровень безопасности.

Чтобы использовать функцию подписания приложений в Google Play, вы должны быть владельцем аккаунта или иметь разрешение на выпуск рабочей версии, исключение устройств и использование функции подписания приложений. Кроме того, вам необходимо принять Условия использования этой функции.

Как это работает

Если вы используете функцию подписания приложений в Google Play, ваши ключи хранятся вместе с ключами Google в безопасной инфраструктуре. Их защиту обеспечивает специальный сервис управления ключами. Подробнее об инфраструктуре Google

Приложения для Android подписываются закрытым ключом. С каждым таким ключом связан открытый сертификат, с помощью которого устройства и сервисы могут проверять источник обновлений. На устройства устанавливаются только те обновления, подпись которых соответствует подписи установленного приложения. Если вы позволите Google управлять ключом подписи приложения, этот процесс станет безопаснее.

Примечание. Для приложений, созданных до августа 2021 года, по-прежнему можно загружать APK-файлы, а не наборы Android App Bundle и управлять собственными ключами, вместо того чтобы использовать функцию подписания приложений в Google Play. Однако если вы потеряете доступ к хранилищу ключей или оно будет взломано, то вы не сможете обновить свое приложение и вам придется опубликовать его заново с другим названием пакета. В таких случаях мы рекомендуем использовать функцию подписания приложений в Google Play и наборы App Bundle.

Описания ключей, объектов и инструментов
Термин Описание
Ключ подписи приложения

Ключ, используемый в Google Play для подписания APK-файлов, доставляемых на устройство пользователя. С функцией подписания приложений в Google Play вы можете загрузить существующий ключ подписи или использовать ключ, сгенерированный Google.

Ключ подписи приложения нельзя передавать никому, но при необходимости вы можете поделиться открытым сертификатом приложения.

Ключ загрузки

Ключ, которым вы подписываете набор App Bundle перед загрузкой в Google Play. Этот ключ никому нельзя передавать, но при необходимости вы можете поделиться открытым сертификатом приложения. В целях безопасности для подписания и загрузки приложения рекомендуется использовать разные ключи.

Сгенерировать ключ загрузки можно двумя способами:

  • С помощью ключа подписи приложения. Если для подписания приложения вы используете ключ, сгенерированный Google, то ключом загрузки станет тот, которым был подписан первый выпуск.
  • С помощью отдельного ключа загрузки. Если вы предоставили собственный ключ подписи приложения, то в целях безопасности можете сгенерировать новый ключ загрузки. Если вы не хотите этого делать, используйте ключ подписи приложения в качестве ключа загрузки для подписания новых выпусков.
Сертификат (DER или PEM)

Сертификат, который содержит открытый ключ и дополнительную информацию о его владельце. Сертификат открытого ключа позволяет кому угодно узнать, кто подписал набор App Bundle или APK-файл. Этим сертификатом можно делиться, так как он не включает закрытый ключ.

Чтобы зарегистрировать ключи у поставщиков API, вы можете скачать открытый сертификат для ключа подписи и ключа загрузки на странице Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений) в Play Console. Сертификатом открытого ключа можно делиться со всеми, так как он не включает закрытый ключ.

Цифровой отпечаток сертификата

Короткий и уникальный идентификатор сертификата. Отпечаток вместе с названием пакета часто используют для регистрации приложений у поставщиков API.

Цифровые отпечатки MD5, SHA-1 и SHA-256 сертификатов загрузки и подписи приложения можно найти на странице Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений) в Play Console. Вы также можете получить цифровой отпечаток другого типа. Для этого скачайте оригинальный сертификат в формате DER на той же странице.

Хранилище ключей Java (JKS или KEYSTORE) Хранилище сертификатов безопасности и закрытых ключей.
Инструмент PEPK

Инструмент для экспорта закрытых ключей из хранилища Java и их шифрования для передачи в Google Play.

Когда вы предоставите Google ключ подписи приложения, выберите экспорт и загрузку собственного ключа (и при необходимости – его открытого сертификата), а затем, следуя инструкциям, скачайте инструмент и воспользуйтесь им. Вы также можете скачать, посмотреть и использовать открытый исходный код инструмента PEPK.

Процесс подписания приложений

Вот как это работает:

  1. Вы подписываете набор App Bundle и загружаете его в Play Console.
  2. Google оптимизирует APK-файлы из вашего набора, а затем подписывает их с помощью ключа подписи приложения.
  3. Google добавляет к манифесту приложения две метки (com.android.stamp.source и com.android.stamp.type), используя инструмент apksigner, а затем подписывает APK-файлы с помощью ключа подписи приложения. Метки, добавленные через apksigner, позволяют определить, кто подписал APK-файлы.
  4. Google доставляет подписанные APK-файлы пользователям.

Как настроить функцию подписания приложений в Google Play и работать с ней

Чтобы включить функцию подписания приложений в Google Play для своего приложения, следуйте инструкциям ниже.

Шаг 1. Создайте ключ загрузки

  1. Создайте ключ загрузки, следуя инструкциям.
  2. Подпишите свой набор App Bundle с помощью ключа загрузки.

Шаг 2. Подготовьте выпуск

  1. Подготовьте и внедрите выпуск приложения, следуя инструкциям.
  2. После того как вы выберете тип версии, в разделе "Целостность приложения" появится статус функции подписания приложений в Google Play.
  3. Чтобы продолжить использовать ключ подписи приложения, сгенерированный Google, загрузите набор App Bundle. Вы также можете нажать Изменить ключ подписи приложения и выбрать один из следующих сценариев:
    • Использовать ключ подписи приложения, сгенерированный Google. Более чем в 90 % новых приложений используются ключи подписи, созданные Google. Такие ключи нельзя скачать. Это обеспечивает защиту от потери и раскрытия. Если вы выберете этот вариант, то сможете скачать из App Bundle Explorer APK-файлы. Они подписываются ключом, сгенерированным Google, и их можно распространять через другие каналы.
    • Использовать другой ключ подписи приложения. Вы можете использовать ключ подписи другого приложения из вашего аккаунта разработчика (например, если оно предустановлено на некоторых устройствах) или создать локальную копию ключа. Хранение копии за пределами серверов Google связано с повышенными рисками безопасности. Если вы хотите использовать другой ключ подписи, доступны следующие варианты:
  4. Завершите подготовку и внедрение выпуска.

Примечание. Чтобы продолжить, нужно принять Условия использования и включить функцию подписания приложений.

Шаг 3. Зарегистрируйте ключ подписи приложения у поставщика API

Как правило, если в приложении используются API, необходимо зарегистрировать ключ подписи у их поставщиков в целях аутентификации. Для этого нужен цифровой отпечаток сертификата. Вот как найти сертификат:

  1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).
  2. Прокрутите страницу вниз до раздела "Сертификат для ключа подписи приложения" и скопируйте цифровые отпечатки (MD5, SHA-1 и SHA-256) сертификата подписания приложений.
    • Если поставщик API требует другой тип цифрового отпечатка, вы можете скачать оригинальный сертификат в формате DER и преобразовать его с помощью инструментов, указанных поставщиком.
Требования к ключу подписи приложения

Если вы решите использовать ключ, сгенерированный Google, для вас будет автоматически создан криптостойкий 4096-битный ключ RSA. Если вы хотите загрузить собственный ключ подписи приложения, используйте ключ RSA размером не менее 2048 бит.

Инструкции для приложений, созданных до августа 2021 года

Шаг 1. Настройте функцию подписания приложений в Google Play

  1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).
  2. Ознакомьтесь с Условиями использования функции подписания приложений в Google Play и нажмите Принять, если ещё этого не сделали.

Шаг 2. Отправьте в Google копию оригинального ключа и создайте ключ загрузки

  1. Найдите оригинальный ключ подписи приложения.
  2. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).
  3. Экспортируйте и загрузите ключ подписи приложения тем способом, который больше всего подходит для вашего процесса выпуска.

Шаг 3. Создайте ключ загрузки (необязательно, но рекомендуется)

  1. Создайте ключ загрузки и загрузите сертификат в Google Play.
    • В качестве ключа загрузки можно также использовать ключ подписи приложения.
  2. Скопируйте цифровые отпечатки (MD5, SHA-1 и SHA-256) сертификата подписания приложений.
    • Для проведения тестирования вам может потребоваться зарегистрировать у поставщика API сертификат ключа загрузки с помощью цифрового отпечатка сертификата и ключа подписи приложения.

Шаг 4. Подпишите следующее обновление своего приложения ключом загрузки

Выпускаемые обновления приложения нужно подписывать ключом загрузки.

  • Если вы не сгенерировали новый ключ загрузки, продолжайте использовать для наборов App Bundle оригинальный ключ подписи приложения. В случае утери этого ключа подписи вы можете сгенерировать новый ключ загрузки и зарегистрировать его в Google, чтобы и дальше выпускать обновления.
  • Если вы сгенерировали новый ключ загрузки, используйте его для подписания наборов App Bundle. Google использует ключ загрузки для проверки вашей личности. Если вы потеряете ключ загрузки, обратитесь в службу поддержки, чтобы его сбросить.
Как обновить ключ подписи, чтобы включить функцию подписания приложений в Google Play

Это может потребоваться, если вы не можете поделиться существующим ключом. Учитывайте следующее:

  • После выполнения процедуры вам будет необходимо загружать две группы файлов в каждый выпуск приложения.
  • Вам потребуется загружать набор App Bundle и APK-файл, подписанный устаревшим ключом, в каждый выпуск приложения. С помощью наборов App Bundle Google Play будет генерировать APK-файлы, подписанные новым ключом, для устройств с Android R* (API уровня 30) и более поздних версий. Ваши устаревшие APK-файлы будут использоваться для более ранних версий Android (API уровня 29 и ниже).

*Если ваше приложение использует идентификаторы sharedUserId, рекомендуем применять обновленный ключ для установки и обновлений на устройствах с Android T (API уровня 33) и более поздних версий. Для этого укажите подходящую минимальную версию SDK в параметрах набора.

Шаг 1. Загрузите новый ключ, а затем создайте и загрузите файл подтверждения смены

Это необходимо, чтобы устройства Android доверяли новому ключу подписи.

  1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).
  2. Перейдите на вкладку Подписи приложений.
  3. Нажмите Показать дополнительные параметры и выберите Использовать новый ключ подписи приложения (требуется загрузка двух групп файлов в каждый новый выпуск).
  4. Выберите нужный вариант: использовать ключ подписи другого приложения из этого аккаунта разработчика или загрузить новый ключ подписи приложения из Android Studio, Java Keystore или другого хранилища.
  5. Следуя инструкциям на экране, скачайте и запустите инструмент PEPK.
  6. Загрузите полученный ZIP-архив в Play Console, выбрав Загрузить созданный ZIP-архив.
  7. Рядом с пятым пунктом "Загрузите файл подтверждения смены. Тогда устройства Android смогут определять, что новый ключ надежен" нажмите Показать инструкции.
  8. Скачайте APKSigner и создайте файл подтверждения смены, выполнив следующую команду:
    • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
  9. Нажмите Загрузить сгенерированный файл подтверждения смены и укажите файл, созданный на шаге 8.
  10. Нажмите Сохранить.

Как создать ключ загрузки и обновить хранилища ключей

В целях безопасности рекомендуем подписывать приложение новым ключом загрузки, а не ключом подписи приложения.

Вы можете создать ключ загрузки, когда будете включать функцию подписания приложений в Google Play, или сгенерировать его позже на странице Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).

Вот как создать ключ загрузки:

  1. Следуйте инструкциям на сайте для разработчиков Android. Храните ключ в безопасном месте.
  2. Экспортируйте сертификат для ключа загрузки в формате PEM. В следующем примере команды вместо аргументов, выделенных подчеркиванием, укажите свои значения:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Когда в процессе выпуска появится запрос, загрузите сертификат, чтобы зарегистрировать его в Google.

Если вы используете ключ загрузки:

  • Ключ загрузки регистрируется в Google только для аутентификации личности создателя приложения.
  • Ваша подпись удаляется из всех загруженных APK-файлов, прежде чем они попадают к пользователям.
Требования к ключу загрузки
  • Ключ RSA размером не менее 2048 бит.
Обновление хранилищ ключей

Создав ключ загрузки, проверьте и при необходимости обновите следующие местоположения:

  • локальная система;
  • защищенный локальный сервер (с различными списками контроля доступа);
  • облачная система (с различными списками контроля доступа);
  • специальные сервисы по управлению ключами;
  • хранилища Git.

Как обновить ключ подписи приложения

В этом разделе содержатся инструкции по обновлению ключа подписи приложения. Если вы потеряли ключ загрузки, не нужно запрашивать его обновление. В этом случае ознакомьтесь с разделом Что делать, если ключ загрузки утерян или взломан внизу этой страницы.

В некоторых случаях вы можете запросить обновление ключа подписи приложения.

Вот примеры таких ситуаций:

  • Вам нужен более криптостойкий ключ.
  • Ключ подписи приложения взломан.

Важно! Обновление ключей поддерживается только в приложениях, которые используют наборы App Bundle.

Прежде чем запрашивать обновление ключа в Play Console, прочитайте раздел Важные примечания, касающиеся обновления ключей. Чтобы узнать больше о таких запросах, разверните другие разделы ниже.

Важные примечания, касающиеся обновления ключей

Прежде чем запрашивать обновление ключа, важно понять, какие изменения это повлечет.

  • Если в нескольких приложениях вам нужны одинаковые данные или код и поэтому вы используете один ключ подписи, обновите приложения. Это позволит им распознавать сертификаты как нового, так и устаревшего ключа. На устройствах с Android S (API уровня 32) и более ранними версиями платформа Android в целях обмена кодом или данными распознает только сертификат устаревшего ключа подписи.
  • Если в приложении используются API, перед публикацией его обновления обязательно зарегистрируйте сертификаты для нового и устаревшего ключей подписи у поставщиков API. Сертификаты доступны на странице Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений) в Play Console.  
  • Пользователи вашего приложения, которые скачивают обновления через файлообменные сети, смогут устанавливать только обновления, подписанные тем же ключом, что и версия приложения на их устройствах. Если приложение нельзя обновить из-за того, что установленная версия подписана другим ключом, то для получения обновлений пользователи могут удалить и переустановить приложение.
Как запросить обновление ключа для всех установок на устройствах с Android N (API уровня 24) и более поздними версиями

Для всех установок каждого приложения на устройствах с Android N (API уровня 24) и более поздними версиями ключ подписи можно обновлять только один раз в год.

Если по своему запросу вы получили новый ключ, он будет использоваться для подписания всех установок и обновлений приложения. На устройствах с Android T (API уровня 33) и более поздними версиями обновленный ключ будет применяться принудительно. На устройствах с Android S (API уровня 32) и более ранними версиями он не будет использоваться принудительно, и платформа Android по-прежнему сможет распознавать устаревший ключ. Это также относится к любым функциям платформы (например, предоставлению специальных разрешений), которые зависят от ключа подписи приложения. На устройствах с версиями ОС от Android N (API уровня 24) до Android S (API уровня 32) использование обновленного ключа для подписи обновлений приложения будет проверяться Google Play Защитой, если владелец устройства не отключит эту функцию. Это позволяет дополнительно проверить использование обновленного ключа в случаях, где он не применяется принудительно, то есть на устройствах с Android S (API уровня 32) и более ранними версиями.

  1. Откройте Play Console и перейдите на страницу Подписание приложений в Google Play (Выпуск > Настройка > Подписи приложений).
  2. На карточке "Обновление ключа подписи приложения" выберите Запросить обновление ключа.
  3. Отметьте вариант, при котором будет обновлен ключ подписи для всех установок приложения на устройствах с Android N и более поздними версиями.
  4. Разрешите Google создать новый ключ подписи приложения (рекомендуется) или загрузите его.
    • Если вы обновили ключ подписи приложения, который совпадал с ключом загрузки, можно продолжить использовать прежний ключ загрузки или сгенерировать новый.
  5. Укажите причину, по которой вы запрашиваете обновление ключа подписи приложения.
  6. При необходимости зарегистрируйте новый ключ подписи приложения у поставщиков API.

Совет. Если вы распространяете приложение на различных площадках и хотите обеспечить максимальную совместимость его обновления, вам нужно обновить ключ подписи на каждой из них. Для этого используйте следующую команду в инструменте ApkSigner, доступном в Android SDK Build Tools версии 33.0.1 или более поздней:

$ apksigner sign --in ${INPUT_APK}

--out ${OUTPUT_APK}

--ks ${ORIGINAL_KEYSTORE}

--ks-key-alias ${ORIGINAL_KEY_ALIAS}

--next-signer --ks ${UPGRADED_KEYSTORE}

--ks-key-alias ${UPGRADED_KEY_ALIAS}

--lineage ${LINEAGE}

Подробнее об обновлении приложений

Рекомендации

  • Если вы также опубликовали приложение за пределами Google Play или собираетесь это сделать и хотите использовать тот же ключ подписи, у вас есть два варианта:
    • Google сгенерирует ключ (рекомендуемый вариант), после чего вы сможете скачать из App Bundle Explorer подписанный универсальный APK-файл и использовать его за пределами Google Play.
    • Вы сами сгенерируете ключ подписи приложения, который будете использовать во всех магазинах, и загрузите его копию в Google при настройке функции подписания приложений в Google Play.
  • Чтобы защитить свой аккаунт, включите двухэтапную аутентификацию для всех аккаунтов, у которых есть доступ к Play Console.
  • После публикации набора App Bundle в нужной версии откройте App Bundle Explorer, чтобы получить доступ к устанавливаемым APK-файлам, которые Google генерирует из набора. Вы можете:
    • Скопировать ссылку для внутреннего доступа к приложению и поделиться ей. Так можно быстро проверить, какой контент будет установлен из вашего набора App Bundle на то или иное устройство.
    • Скачать универсальный APK-файл, подписанный ключом подписи приложения, который хранится в Google и может быть установлен на любое поддерживаемое вашим приложением устройство.
    • Скачать ZIP-архив со всеми APK-файлами для определенного устройства. Они подписаны ключом, который хранится в Google. Вы можете установить эти APK-файлы на устройство с помощью команды adb install-multiple *.apk.
  • В целях безопасности сгенерируйте новый ключ загрузки, который отличается от ключа подписи приложения.
  • Если вы используете API Google, можете зарегистрировать для своего приложения сертификаты ключа загрузки и ключа подписи в Google Cloud Console.
  • Если вы используете Android App Links, убедитесь, что ключи обновлены в соответствующем JSON-файле протокола связи цифровых объектов на вашем сайте.

Что делать, если ключ загрузки утерян или взломан

Если вы потеряли доступ к закрытому ключу загрузки или он был взломан, создайте новый. Тогда владелец вашего аккаунта разработчика сможет обратиться в поддержку Play Console, чтобы сбросить ключ.

Когда команда поддержки зарегистрирует новый ключ загрузки, владелец аккаунта и администраторы с глобальными правами получат сообщение в Play Console и электронное письмо с дополнительной информацией. После этого вы сможете обновить хранилища ключей и зарегистрировать ключ у поставщиков API.

Владелец аккаунта может отменить в Play Console запрос на сброс ключа.

Важно! Сброс ключа загрузки не затрагивает ключ подписи приложения, с помощью которого Google Play подписывает APK-файлы перед отправкой пользователям.

Схема подписи APK версии 4

Устройства с Android 11 и более поздними версиями поддерживают новую схему подписи APK версии 4. Функция подписания приложений в Google Play использует эту схему для разрешенных приложений, чтобы им были доступны функции оптимизированного распространения. Подпись версии 4 не должна повлиять на пользователей, и никаких действий со стороны разработчика не требуется.

Материалы по теме

  • Ознакомьтесь со сведениями о сервисах подписания и обеспечения целостности в Play Console.
  • Прочитайте информацию о сервисах подписания и обеспечения целостности на сайте для разработчиков Android.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню