新更新的 Android App Sign 问题:未使用上传证书签名的 apk

Posted

技术标签:

【中文标题】新更新的 Android App Sign 问题:未使用上传证书签名的 apk【英文标题】:Android App Sign issue with new update: apk that is not signed with the upload certificate 【发布时间】:2018-01-17 21:34:52 【问题描述】:

最近我上传了一个应用程序到现在正在运行的游戏商店,我也启用了应用程序登录。但是,当我尝试上传新版本时,我无法找到我的旧密钥库。所以,当我生成新的 KEYSTORE 并尝试上传时,我收到了错误:

您上传了一个未使用上传证书签名的 apk。 您必须使用相同的证书。

请查看我的开发者控制台,它同时具有上传证书和应用签名证书。

如何获取使用相同指纹签名的 apk 并上传到 play-store?

参考:https://support.google.com/googleplay/android-developer/answer/7384423?hl=en

如果您丢失了密钥库或认为它可能已被盗用,请使用 Google Play 应用签名可以请求重置您的上传密钥。 如果您未注册 Google Play App Signing 并丢失了您的 密钥库,您需要发布一个具有新包名称的新应用。

注意:与 KeyStore 有关的许多堆栈溢出问题,但这是与 Google “App Signing” 的新功能相关的一些问题,我没有得到合适的答案。

我已联系 Google,但他们的回复并未证实任何事情。请在下面找到来自 google 的消息。

很抱歉给您带来了困惑,但我可以看到您的应用(使用 包名:com.wma.foodinns.foodinnsapp),你已经成功了 向 Google 注册了您的上传密钥,因此已成功 生成上传密钥。您生成的上传密钥,然后用于 register 是您仍然应该拥有的钥匙,并且应该是 用于将此应用的新 APK 上传到 播放控制台。

您可以从 Play 管理中心下载的证书不是完整的 上传密钥,但包含公钥以及一些额外的 识别有关谁拥有密钥的信息(有关更多信息 关于这一点,请参阅此处列出的定义: https://support.google.com/googleplay/android-developer/answer/7384423?hl=en&ref_topic=7072031)。

您是否仍然拥有您创建的、然后注册为的密钥 作为 Play 管理中心的上传密钥?

【问题讨论】:

【参考方案1】:

最后,Google 帮助我解决了这个问题。我已经写了一封电子邮件来描述这个问题,然后在得到他们的回复后,按照以下步骤操作。

    我创建了新的密钥库。 已将该密钥的证书导出为 PEM 格式:
keytool -export -rfc -alias upload -file upload_certificate.pem -keystore keystore.jks
    回复了他们的电子邮件并附上了 upload_certificate.pem 文件。 然后 Google 发送了一封电子邮件,说他们已经更新了我的密钥库,我可以在 3 到 4 天后使用它。

    我使用了新生成的密钥库,他们生成了签名的 APK 并成功上传到 Playstore。

    以下是更新密钥库所需的位置列表

      本地机器 锁定的现场服务器(不同的 ACL) 云端机器(不同的 ACL) 专门的机密管理服务 (git) 存储库

【讨论】:

我丢失了 keystore.jks 文件,所以我无法上传新的 apk,所以我联系了 Google,他们已经解释了上述步骤。然后谷歌用他们的服务器改变了新的密钥库,我们可以上传新的 apk :)【参考方案2】:

由于您使用的是Google app signing program,您可以请求重置您的上传密钥。为此,您需要联系 Google。如下图所示:

联系我们 -> 在 Google Play 上发布应用程序 -> 应用程序签名证书和密钥库问题 -> 要请求重置您的上传密钥,联系我们

【讨论】:

我已经联系了他们一天,他们的回复没有得到任何确认。 电子邮件帮助有时不是很快,您可以chat with them 周一到周五,早上 5 点到晚上 10 点。格林威治时间 (GMT) 是我所知道的,因为我曾在对 android 评级问卷有疑问时联系过他们。【参考方案3】:

由于您使用的是 Google Play App Signing,因此您只需创建一个新的上传密钥,然后联系 Google 支持。请参阅the documentation,尤其是该页面末尾附近的“丢失或泄露的私钥”部分。

【讨论】:

我已经联系了他们,但他们的回答并未证实任何事情。【参考方案4】:

抱歉 Siba,但如果您丢失了密钥库,您将无能为力。我的意思是,如果存在一种方法,那不会破坏密钥库系统的整个安全功能吗?

我个人有 3 个重要密钥存储的备份位置。你很幸运,因为你的应用程序可能不是太新,有很多用户。只需重新发布此应用程序(使用不同的包名称),您就可以开始了。保存我们这次要使用的基石。

【讨论】:

谢谢,但是,应用程序在 3 到 4 天内获得了 150 次下载和 65、5 星评价.. 所以失去它非常令人失望。但这是我的最后一个选择。 不错!对于一个新的应用程序来说,这些是非常好的数字。但是请相信我,当您拥有一个拥有数百万 dl 且每天增长 10k+ 的应用时,您对世界的看法会略有不同 :) 您也可以快速恢复这些数字,所以这并不是真正的损失。

以上是关于新更新的 Android App Sign 问题:未使用上传证书签名的 apk的主要内容,如果未能解决你的问题,请参考以下文章

最近3款Android APP逆向分析总结

带有上传证书的Android Sign APK(如何确保正确的指纹)

Android微信支付获取二次签名Sign的方法

Android 更新系统应用未获得新权限

Android 应用程序更新到 Amazon App Store 失败

6盘(清真云)Android APP 测试版 20181011 每日更新