问题标签 [android-app-signing]

我之前不得不将应用程序转移到另一个帐户，这非常简单，您只需继续使用与以前相同的密钥对其进行签名。

但是，如果我要将我的应用程序注册到 Google Play 应用程序签名中，我是否必须将上传密钥提供给另一个帐户所有者？他应该只生成一个新的并在 Google 上注册吗？是否需要对发布密钥进行任何处理，还是完全由 Google 处理？

我正在尝试在我目前使用 Unity 构建的应用程序上测试 google play 游戏的功能。我选择了 Google 的应用签名，并且只能访问上传密钥库。有没有办法使用由上传密钥签名的应用程序版本连接到谷歌玩游戏，这样我就不必每次想测试它时都部署我的应用程序？

我正在尝试将现有应用切换到 Google Play 应用签名。有一篇文章为使用密钥库文件的人提供了很好的说明：如何启用 Google Play 应用签名

我的问题是，我只有一个 .p12 文件，而不是密钥库，我无法将其导入密钥库文件（长篇大论）。

使用 Google Play 应用签名的第一步是“将您的应用签名私钥导出到纯文本 PEM 文件”。我这样做了，现在我有了从原始 .p12 派生的纯文本 PEM 文件。根据 Google 的说明，他们似乎只需要带有我的私钥的 PEM 文件，而不是密钥库文件。

我的问题是如何使用pepk工具从 PEM 文件中创建 Google 需要的加密应用签名私钥。

我做了什么

1. 我已经创建了应用程序，并按照此处所述对其进行了签名
2. 我已将生成的捆绑包上传到 Google Play，并使用应用签名证书和上传证书访问页面

怎么办？如何使用应用签名证书或上传证书创建新的 .keystore 文件？另外，我应该使用哪一个？

如果这很重要，我在 OS X 上。

我是 Android 开发人员，我在 Google Play 中有一些 Android 应用程序。我正在为我的客户开发应用程序。

在我的 PC 上签署我的客户应用程序的 APK 是否有任何风险？

假设我使用客户的帐户签署了 APK 并在 Google Play 上发布。然后，有一天我的客户应用程序或帐户被禁止。

我认为，当应用程序在 Google Play 上发布时，Google 会跟踪 MAC 地址、IP 地址等。

那么，如果我的客户帐户被 Google Play 禁止，我的开发者帐户和应用程序是否会有任何风险？因为我的应用程序和我客户的应用程序是由同一台 PC 签名的。谷歌跟踪它，谷歌也可以惩罚我吗？

最近，Google 引入了安全元数据，该元数据添加到上传到 Google Play 的每个应用程序中。我们曾经有一个篡改保护，它在运行时计算应用程序的签名（哈希），并检查它是否等于在发布期间计算的哈希。这多年来一直运行良好，但现在 GP 通过添加安全元数据来修改应用程序的二进制文件。

• 有没有办法完全禁用 GP 安全元数据？
• 有没有办法在不发布的情况下从商店检查（下载）修改过的 APK？测试版通道中的应用似乎没有被修改，所以这个解决方案不起作用。

我刚刚注册了 Google Play App Signing 程序，该程序需要上传发布密钥库的加密版本，并且有一个用于创建上传密钥库的“可选”步骤 - 可选在引号中，因为我认为这应该是必需的步骤，但无论如何，在成功注册后，我现在留下了一个Upload certificate，我应该以某种方式使用它来签署我未来的应用程序版本。

到目前为止我所做的：我从 Android Studio 创建了一个新的密钥库，设置了商店和别名密码，并尝试将upload_cert.der导入现有的别名 - 失败：

keytool 错误：java.lang.Exception：回复中的公钥和密钥库不匹配

我还尝试在不指定别名（或删除现有别名并创建新别名）或使用不同别名的情况下导入上传证书：

...也失败了：最终创建了一个名为mykey的新别名，该别名不受密码保护并且失败并显示以下消息：

原因：java.lang.RuntimeException：com.android.ide.common.signing.KeytoolException：无法从存储“/path/to/upload-keystore.jks”读取密钥上传：受信任的证书条目不受密码保护

...很自然，我尝试为别名设置密码：

消息也失败了：

keytool 错误：java.lang.Exception：别名没有键

...现在我已经没有想法了。

与此同时，我已经向 Google Play 支持发送了一个问题/请求以更新我的上传密钥，但是，我希望有解决这种情况的方法（支持的回复有点慢），因为文档没有t 以任何方式暗示生成上传密钥库并上传该密钥库的加密私钥是一项要求。因此，要么文档模糊/不清楚/错误，要么有一种方法可以使用生成的 upload_cert.der。有什么想法吗？

编辑：

感谢Pierre提供的答案和评论，我意识到如果您不创建/提供上传密钥，则应使用您现有的原始签名密钥和upload_cert.der。因此，唯一的要求是通过运行插入上传证书：

...并且您应该能够继续将您的应用程序发布到 Play 商店。

我丢失了我的 pepk.jar 文件，但我确实有我第一次签署 apk 并在谷歌控制台中发布时生成的密钥库。我试图签署更新的 apk 并在控制台中上传，但它说

您上传的 APK 未使用上传证书进行签名。您必须使用相同的证书。上传证书有指纹：[SHA1--------------]

并且用于签署您上传的 APK 的证书有指纹：[SHA1------------------------------]

我试过这种方式

但是在我使用从上面生成的新密钥库对 apk 签名后，它会引发相同的错误。

我检查了我的 SHA1 的新旧 apk 如下

我得到了不同的 SHA1，但现在的问题是如何使用原始 SHA1 来签署新的 apk？

谁能指导我如何克服这个问题？

我不想创建新包并签署新应用程序，因为下载此应用程序的用户规模很大。

谢谢你。

在选择加入“Google Play 应用签名”之前，我使用 p12 证书签署了我的 APK

我已按照@MatPag 编写的以下帖子中描述的步骤来激活 Google App Signing。

如何启用 Google Play 应用签名

激活后，我仍然可以使用旧的 p12 证书和新创建的上传密钥库来签名和上传我的 APK 文件。这是预期的行为，还是我做错了什么？

据我从 Google Play App Signing 文档中了解到，我应该无法将 APK 上传到已使用旧 p12 证书签名的 Google Play Console。

1. 作为标题，我们发布了一个应用程序，但选择了“OPT OUT”作为附件截图。我们可以将其更改为 [App signature by Google Play]，就像单击 [Continue] 按钮一样吗？因为这个应用发布了一年，并且获得了一些用户，我们不想创建另一个应用来替换它并重新启动。

2. 看起来我们应该去现有应用程序的[应用程序签名]执行选项[您已导出您的应用程序签名密钥]（如下面的屏幕截图）。但是在上传 Android Studio [Generate Signed APK] 中使用的密钥库文件时，出现错误。事实上，我们并不完全了解关键文件的逻辑。欢迎任何想法或经验。