Как использовать функцию подписания приложений в Google Play

Функция подписания приложений в Google Play позволяет Google защищать ваш ключ подписи, а также использовать его для оптимизированных APK-файлов, которые создаются из наборов App Bundle и предназначаются для распространения приложений. Ключ подписи хранится в надежной инфраструктуре Google, где его можно обновить, если нужно повысить уровень безопасности.

Чтобы использовать функцию подписания приложений в Google Play, вы должны быть владельцем аккаунта или иметь разрешение на выпуск рабочей версии, исключение устройств и использование функции подписания приложений. Кроме того, вам необходимо принять Условия использования данной функции.

Как это работает

Если вы используете функцию подписания приложений в Google Play, ваши ключи хранятся вместе с ключами Google в безопасной инфраструктуре. Их защиту обеспечивает специальный сервис управления ключами. Подробнее об инфраструктуре Google

Приложения для Android подписываются закрытым ключом. С каждым таким ключом связан открытый сертификат, с помощью которого устройства и сервисы могут проверять источник обновлений. На устройства устанавливаются только те обновления, подпись которых соответствует подписи установленного приложения. Если вы позволите Google управлять ключом подписи приложения, этот процесс станет безопаснее.

Примечание. Для приложений, созданных до августа 2021 года, по-прежнему можно загружать APK-файлы, а не наборы Android App Bundle и управлять собственными ключами, вместо того чтобы использовать функцию подписания приложений в Google Play. Однако если вы потеряете доступ к хранилищу ключей или оно будет взломано, то вы не сможете обновить свое приложение и вам придется опубликовать его заново с другим названием пакета. В таких случаях мы рекомендуем использовать функцию подписания приложений в Google Play и наборы App Bundle.

Описания ключей, объектов и инструментов
Термин Описание
Ключ подписи приложения

Ключ, используемый в Google Play для подписания APK-файлов, доставляемых на устройство пользователя. С функцией подписания приложений в Google Play вы можете загрузить существующий ключ подписи или использовать ключ, сгенерированный Google.

Ключ подписи приложения нельзя передавать никому, но при необходимости вы можете поделиться открытым сертификатом приложения.

Ключ загрузки

Ключ, которым вы подписываете набор App Bundle перед загрузкой в Google Play. Этот ключ никому нельзя передавать, но при необходимости вы можете поделиться открытым сертификатом приложения. В целях безопасности для подписания и загрузки приложения рекомендуется использовать разные ключи.

Сгенерировать ключ загрузки можно двумя способами:

  • С помощью ключа подписи приложения. Если для подписания приложения вы используете ключ, сгенерированный Google, то ключом загрузки станет тот, которым был подписан первый выпуск.
  • С помощью отдельного ключа загрузки. Если вы предоставили собственный ключ подписи приложения, то в целях безопасности можете сгенерировать новый ключ загрузки. Если вы не хотите этого делать, используйте ключ подписи приложения в качестве ключа загрузки для подписания новых выпусков.
Сертификат (DER или PEM)

Сертификат, который содержит открытый ключ и дополнительную информацию о его владельце. Сертификат открытого ключа позволяет кому угодно узнать, кто подписал набор App Bundle или APK-файл. Этим сертификатом можно делиться, так как он не включает закрытый ключ.

Чтобы зарегистрировать ключи у поставщиков API, вы можете скачать открытый сертификат для ключа подписи и ключа загрузки на странице Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения) в Play Console. Сертификатом открытого ключа можно делиться со всеми, так как он не включает закрытый ключ.

Цифровой отпечаток сертификата

Короткий и уникальный идентификатор сертификата. Отпечаток вместе с названием пакета часто используют для регистрации приложений у поставщиков API.

Цифровые отпечатки MD5, SHA-1 и SHA-256 сертификатов загрузки и подписи приложения можно найти на странице Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения) в Play Console. Вы также можете получить цифровой отпечаток другого типа. Для этого скачайте оригинальный сертификат в формате DER на той же странице.

Хранилище ключей Java (JKS или KEYSTORE) Хранилище сертификатов безопасности и закрытых ключей.
Инструмент PEPK

Инструмент для экспорта закрытых ключей из хранилища Java и их шифрования для передачи в Google Play.

Когда вы предоставите Google ключ подписи приложения, выберите экспорт и загрузку собственного ключа (и при необходимости – его открытого сертификата), а затем, следуя инструкциям, скачайте инструмент и воспользуйтесь им. Вы также можете скачать, посмотреть и использовать открытый исходный код инструмента PEPK.

Процесс подписания приложений

Вот как это работает:

  1. Вы подписываете набор App Bundle и загружаете его в Play Console.
  2. Google оптимизирует APK-файлы из вашего набора, а затем подписывает их с помощью ключа подписи приложения.
  3. Google добавляет к манифесту приложения две метки (com.android.stamp.source и com.android.stamp.type), используя инструмент apksigner, а затем подписывает APK-файлы с помощью ключа подписи приложения. Метки, добавленные через apksigner, позволяют определить, кто подписал APK-файлы.
  4. Google доставляет подписанные APK-файлы пользователям.

Как настроить функцию подписания приложений в Google Play и работать с ней

Чтобы включить функцию подписания приложений в Google Play для своего приложения, следуйте инструкциям ниже.

Шаг 1. Создайте ключ загрузки

  1. Создайте ключ загрузки, следуя инструкциям.
  2. Подпишите свой набор App Bundle с помощью ключа загрузки.

Шаг 2. Подготовьте выпуск

  1. Подготовьте и внедрите выпуск приложения, следуя инструкциям.
  2. После того как вы выберете тип версии, в разделе "Целостность приложения" появится статус функции подписания приложений в Google Play.
  3. Чтобы продолжить использовать ключ подписи приложения, сгенерированный Google, загрузите набор App Bundle. Вы также можете нажать Изменить ключ подписи приложения и выбрать один из следующих сценариев:
    • Использовать ключ подписи приложения, сгенерированный Google. Более чем в 90 % новых приложений используются ключи подписи, созданные Google. Такие ключи нельзя скачать. Это обеспечивает защиту от потери и раскрытия. Если вы выберете этот вариант, то сможете скачать из App Bundle Explorer APK-файлы. Они подписываются ключом, сгенерированным Google, и их можно распространять через другие каналы.
    • Использовать другой ключ подписи приложения. Вы можете использовать ключ подписи другого приложения из вашего аккаунта разработчика (например, если оно предустановлено на некоторых устройствах) или создать локальную копию ключа. Хранение копии за пределами серверов Google связано с повышенными рисками безопасности. Если вы хотите использовать другой ключ подписи, доступны следующие варианты:
  4. Завершите подготовку и внедрение выпуска.

Примечание. Чтобы продолжить, нужно принять Условия использования и включить функцию подписания приложений.

Шаг 3. Зарегистрируйте ключ подписи приложения у поставщика API

Как правило, если в приложении используются API, необходимо зарегистрировать ключ подписи у их поставщиков в целях аутентификации. Для этого нужен цифровой отпечаток сертификата. Вот как найти сертификат:

  1. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  2. Прокрутите страницу вниз до раздела "Сертификат для ключа подписи приложения" и скопируйте цифровые отпечатки (MD5, SHA-1 и SHA-256) сертификата подписания приложений.
    • Если поставщик API требует другой тип цифрового отпечатка, вы можете скачать оригинальный сертификат в формате DER и преобразовать его с помощью инструментов, указанных поставщиком.
Требования к ключу подписи приложения

Если вы решите использовать ключ, сгенерированный Google, для вас будет автоматически создан криптостойкий 4096-битный ключ RSA. Если вы хотите загрузить собственный ключ подписи приложения, используйте ключ RSA размером не менее 2048 бит.

Инструкции для приложений, созданных до августа 2021 года

Шаг 1. Настройте функцию подписания приложений в Google Play

  1. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  2. Если вы ещё этого не сделали, ознакомьтесь с Условиями использования функции подписания приложений в Google Play и нажмите Принять.

Шаг 2. Отправьте в Google копию оригинального ключа и создайте ключ загрузки

  1. Найдите оригинальный ключ подписи приложения.
  2. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  3. Экспортируйте и загрузите ключ подписи приложения тем способом, который больше всего подходит для вашего процесса выпуска.

Шаг 3. Создайте ключ загрузки (необязательно, но рекомендуется)

  1. Создайте ключ загрузки и загрузите сертификат в Google Play.
    • В качестве ключа загрузки можно также использовать ключ подписи приложения.
  2. Скопируйте цифровые отпечатки (MD5, SHA-1 и SHA-256) сертификата подписания приложений.
    • Для проведения тестирования вам может потребоваться зарегистрировать у поставщика API сертификат ключа загрузки с помощью цифрового отпечатка сертификата и ключа подписи приложения.

Шаг 4. Подпишите следующее обновление своего приложения ключом загрузки

Выпускаемые обновления приложения нужно подписывать ключом загрузки.

  • Если вы не сгенерировали новый ключ загрузки, продолжайте использовать для наборов App Bundle оригинальный ключ подписи приложения. В случае утери этого ключа подписи вы можете сгенерировать новый ключ загрузки и зарегистрировать его в Google, чтобы продолжить выпускать обновления.
  • Если вы сгенерировали новый ключ загрузки, используйте его для подписания наборов App Bundle. Google использует ключ загрузки для проверки вашей личности. Если вы потеряете ключ загрузки, обратитесь в службу поддержки, чтобы его сбросить.
Как обновить ключ подписи, чтобы включить функцию подписания приложений в Google Play

Это может потребоваться, если вы не можете поделиться существующим ключом. Учитывайте следующее:

  • После выполнения процедуры вам будет необходимо загружать две группы файлов в каждый выпуск приложения.
  • Вам потребуется загружать набор App Bundle и APK-файл, подписанный устаревшим ключом, в каждый выпуск приложения. С помощью наборов App Bundle Google Play будет генерировать APK-файлы, подписанные новым ключом, для устройств с Android R* (API уровня 30) и более поздних версий. Ваши устаревшие APK-файлы будут использоваться для более ранних версий Android (API уровня 29 и ниже).

*Если ваше приложение использует идентификаторы sharedUserId, рекомендуем применять обновленный ключ для установки и обновлений на устройствах с Android T (API уровня 33) и более поздних версий. Для этого укажите подходящую минимальную версию SDK в параметрах набора.

Шаг 1. Загрузите новый ключ, а затем создайте и загрузите файл подтверждения смены

Это необходимо, чтобы устройства Android доверяли новому ключу подписи.

  1. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  2. Перейдите на вкладку Подписи приложений.
  3. Нажмите Показать дополнительные параметры и выберите Использовать новый ключ подписи приложения (требуется загрузка двух групп файлов в каждый новый выпуск).
  4. Выберите нужный вариант: использовать ключ подписи другого приложения из этого аккаунта разработчика или загрузить новый ключ подписи приложения из Android Studio, Java Keystore или другого хранилища.
  5. Следуя инструкциям на экране, скачайте и запустите инструмент PEPK.
  6. Загрузите полученный ZIP-архив в Play Console, выбрав Загрузить созданный ZIP-архив.
  7. Рядом с пятым пунктом "Загрузите файл подтверждения смены. Тогда устройства Android смогут определять, что новый ключ надежен" нажмите Показать инструкции.
  8. Скачайте APKSigner и создайте файл подтверждения смены, выполнив следующую команду:
    • $ apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback ture --new-signer --ks new-signer-jks --set-rollback true
  9. Нажмите Загрузить сгенерированный файл подтверждения смены и укажите файл, созданный на шаге 8.
  10. Нажмите Сохранить.

Как создать ключ загрузки и обновить хранилища ключей

В целях безопасности рекомендуем подписывать приложение новым ключом загрузки, а не ключом подписи приложения.

Вы можете создать ключ загрузки, когда будете включать функцию подписания приложений в Google Play, или сгенерировать его позже на странице Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).

Вот как создать ключ загрузки:

  1. Следуйте инструкциям на сайте для разработчиков Android. Храните ключ в безопасном месте.
  2. Экспортируйте сертификат для ключа загрузки в формате PEM. В следующем примере команды вместо аргументов, выделенных подчеркиванием, укажите свои значения:
    • $ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
  3. Когда в процессе выпуска появится запрос, загрузите сертификат, чтобы зарегистрировать его в Google.

Если вы используете ключ загрузки:

  • Ключ загрузки регистрируется в Google только для аутентификации личности создателя приложения.
  • Ваша подпись удаляется из всех загруженных APK-файлов, прежде чем они попадают к пользователям.
Требования к ключу загрузки
  • Ключ RSA размером не менее 2048 бит.
Обновление хранилищ ключей

Создав ключ загрузки, проверьте и при необходимости обновите следующие местоположения:

  • локальная система;
  • защищенный локальный сервер (с различными списками контроля доступа);
  • облачная система (с различными списками контроля доступа);
  • специальные сервисы по управлению ключами;
  • хранилища Git.

Как обновить ключ подписи приложения

В этом разделе содержатся инструкции по обновлению ключа подписи приложения. Если вы потеряли ключ загрузки, не нужно запрашивать его обновление. В этом случае ознакомьтесь с разделом Что делать, если ключ загрузки утерян или взломан внизу этой страницы.

В некоторых случаях вы можете запросить обновление ключа подписи приложения.

Вот примеры таких ситуаций:

  • Вам нужен более криптостойкий ключ.
  • Ключ подписи приложения взломан.

Прежде чем запрашивать обновление ключа в Play Console, прочитайте раздел Важные примечания, касающиеся обновления ключей. Чтобы узнать больше о таких запросах, разверните другие разделы ниже.

Примечание. Запрос на обновление ключа подписи для новых установок приложения в Play Console не связан с ротацией ключей в схеме подписания APK-файлов версии 3 для Android P и более поздних версий.

Важные примечания, касающиеся обновления ключей

Прежде чем запрашивать обновление ключа, важно понять, какие изменения это повлечет.

  • Если в нескольких приложениях вам нужны одинаковые данные или код и поэтому вы используете один ключ подписи, обновите приложения. Это позволит им распознавать сертификаты как нового, так и устаревшего ключа.
  • Если в приложении используются API, перед публикацией его обновления обязательно зарегистрируйте сертификаты для нового и устаревшего ключей подписи у поставщиков API. Сертификаты доступны на странице Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения) в Play Console.  
  • Пользователи вашего приложения, которые скачивают обновления через файлообменные сети, смогут устанавливать только обновления, подписанные тем же ключом, что и версия приложения на их устройствах. Если приложения нельзя обновить из-за того, что установленная версия подписана другим ключом, пользователи могут удалить и переустановить его, чтобы получать обновления.
Как запросить обновление ключа для всех установок на устройствах с Android T (API уровня 33) и более поздними версиями (рекомендуется)

Для всех установок каждого приложения на устройствах с Android T (API уровня 33) ключ подписи можно обновлять только один раз в год.

Если по своему запросу вы получили новый ключ, он будет использоваться для подписания всех установок и обновлений приложения на устройствах с Android T (API уровня 33) и более поздними версиями. При этом устаревший ключ будет применяться, чтобы подписывать установки и обновления для устройств с более ранними версиями ОС Android.

  1. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  2. В карточке "Обновление ключа подписи приложения" выберите Запросить обновление ключа.
  3. Отметьте вариант, при котором будет обновлен ключ подписи для всех установок приложения на устройствах с Android T и более поздними версиями.
  4. Разрешите Google создать новый ключ подписи приложения (рекомендуется) или загрузите его.
    • Если вы обновили ключ подписи приложения, который совпадал с ключом загрузки, можно продолжить использовать прежний ключ загрузки или сгенерировать новый.
  5. Укажите причину, по которой вы запрашиваете обновление ключа подписи приложения.
  6. При необходимости зарегистрируйте новый ключ подписи приложения у поставщиков API.
Как запросить обновление ключа для новых установок (подходит не для всех приложений)
Мы не рекомендуем запрашивать обновление ключа для новых установок, так как это подходит не для всех приложений. Чтобы было удобнее управлять ключами, стоит запросить обновление ключа для всех установок на устройствах с Android T и более поздних версий.

Ключ подписи для новых установок каждого приложения можно обновить только один раз. После этого ключ подписи для всех установок можно будет обновлять один раз в год. В редких случаях, когда один ключ подписи используется в нескольких приложениях для того, чтобы запускать их в одном процессе, обновить ключ нельзя.

Если по своему запросу вы получили новый ключ, он будет использоваться для подписания новых установок и обновлений приложения. При этом устаревший ключ будет применяться, чтобы подписывать обновления для пользователей, уже установивших ваше приложение.

  1. Откройте Play Console и перейдите на страницу Функция подписания приложений в Google Play (Выпуск > Настройка > Целостность приложения).
  2. В карточке "Обновление ключа подписи приложения" выберите Запросить обновление ключа.
  3. Отметьте вариант, при котором будет обновлен ключ подписи для всех новых установок приложения.
  4. Разрешите Google создать новый ключ подписи приложения (рекомендуется) или загрузите его.
    • Если вы обновили ключ подписи приложения, который совпадал с ключом загрузки, используйте прежний ключ загрузки или сгенерируйте новый.
  5. Укажите причину, по которой вы запрашиваете обновление ключа подписи приложения.
  6. При необходимости зарегистрируйте новый ключ подписи приложения у поставщиков API.

Рекомендации

  • Если вы также опубликовали приложение за пределами Google Play или собираетесь это сделать и хотите использовать тот же ключ подписи, у вас есть два варианта:
    • Google сгенерирует ключ (рекомендуемый вариант), после чего вы сможете скачать из App Bundle Explorer подписанный универсальный APK-файл и использовать его за пределами Google Play.
    • Вы сами сгенерируете ключ подписи приложения, который будете использовать во всех магазинах, и загрузите его копию в Google при настройке функции подписания приложений в Google Play.
  • Чтобы защитить свой аккаунт, включите двухэтапную аутентификацию для всех аккаунтов, у которых есть доступ к Play Console.
  • После публикации набора App Bundle в нужной версии откройте App Bundle Explorer, чтобы получить доступ к устанавливаемым APK-файлам, которые Google генерирует из набора. Вы можете:
    • Скопировать ссылку для внутреннего доступа к приложению и поделиться ей. Так можно быстро проверить, какой контент будет установлен из вашего набора App Bundle на то или иное устройство.
    • Скачать универсальный APK-файл, подписанный ключом подписи приложения, который хранится в Google и может быть установлен на любое поддерживаемое вашим приложением устройство.
    • Скачать ZIP-архив со всеми APK-файлами для определенного устройства. Они подписаны ключом, который хранится в Google. Вы можете установить эти APK-файлы на устройство с помощью команды adb install-multiple *.apk.
  • В целях безопасности сгенерируйте новый ключ загрузки, который отличается от ключа подписи приложения.
  • Если вы используете API Google, можете зарегистрировать для своего приложения сертификаты ключа загрузки и ключа подписи в Google Cloud Console.
  • Если вы используете Android App Links, убедитесь, что ключи обновлены в соответствующем файле JSON протокола связи цифровых объектов на вашем сайте.

Что делать, если ключ загрузки утерян или взломан

Если вы потеряли доступ к закрытому ключу загрузки или он был взломан, создайте новый. Тогда владелец вашего аккаунта разработчика сможет обратиться в поддержку Play Console, чтобы сбросить ключ.

Когда команда поддержки зарегистрирует новый ключ загрузки, владелец аккаунта и администраторы с глобальными правами получат сообщение в Play Console и электронное письмо с дополнительной информацией. После этого вы сможете обновить хранилища ключей и зарегистрировать ключ у поставщиков API.

Владелец аккаунта может отменить в Play Console запрос на сброс ключа.

Важно! Сброс ключа загрузки не затрагивает ключ подписи приложения, с помощью которого Google Play подписывает APK-файлы перед отправкой пользователям.

Схема подписи APK версии 4

Устройства с Android 11 и более поздними версиями поддерживают новую схему подписи APK версии 4. В рамках функции подписания приложений в Google Play будет выпущена подпись версии 4 для выбранных приложений. Благодаря этому в них можно будет использовать функции повышения производительности, которые скоро будут доступны на новых устройствах. Это не должно повлиять на пользователей, и никаких действий со стороны разработчика не требуется.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
false
false
true
92637
false
false