【问题标题】:Can we use existing keystore and app signing key for private key whereas new keystore-file for generating an upload key for google play app signing我们可以使用现有的密钥库和应用程序签名密钥作为私钥,而新的密钥库文件用于生成用于谷歌播放应用程序签名的上传密钥
【发布时间】:2020-11-23 16:28:35
【问题描述】:
我在 Google Play 商店中有一个现有应用,我想注册应用签名。我用来手动签署已发布应用程序(更新)的现有密钥是从 2012 年开始的,即使我可以生成一个私钥文件(pepk),在执行上传密钥的第三个可选步骤时,谷歌播放控制台错误说,正在使用的密钥文件太弱。
有没有一种方法可以让我使用现有的密钥库签名密钥来生成和上传 pepk(私有)文件以进行应用程序签名,同时生成另一个本地密钥库,该密钥库使用更强的密钥作为上传密钥?
是否必须为私钥和上传密钥过程使用相同的密钥库签名密钥?
请提出建议。
【问题讨论】:
标签:
android
android-app-bundle
android-app-signing
【解决方案1】:
理想情况下,您应该不对应用签名密钥和上传密钥使用相同的密钥,因为它们具有不同级别的敏感度:如果后者受到威胁,您可以重置它而不会产生长期影响,而如果前者受到威胁,您的用户实际上有收到不是由您构建的应用更新的风险,而且您几乎无能为力(在这种情况下,有一个关键升级选项,但只会影响 new 您的应用的用户,而不是已安装您的应用的用户)。
因此,当您注册 Play 签名时,我建议您生成一个新的强上传密钥,独立于您的应用签名密钥。