android - 我们可以使用现有的密钥库和应用程序签名密钥作为私钥,而新的密钥库文件用于生成用于谷歌播放应用程序签名的上传密钥
问题描述
我在 google play 商店中有一个现有的应用程序,我想注册应用程序签名。我用来手动签署已发布应用程序(更新)的现有密钥是从 2012 年开始的,即使我可以生成一个私钥文件(pepk),在执行上传密钥的第三个可选步骤时,谷歌播放控制台错误说,正在使用的密钥文件太弱。
有没有一种方法可以使用现有的密钥库签名密钥生成和上传 pepk(私有)文件以进行应用程序签名,同时生成另一个本地密钥库,该密钥库使用更强的密钥作为上传密钥?是否必须为私钥和上传密钥过程使用相同的密钥库签名密钥?请建议。
解决方案
理想情况下,您不应该对应用签名密钥和上传密钥使用相同的密钥,因为它们具有不同级别的敏感度:如果后者被泄露,您可以重置它而不会产生长期影响,而如果前者被泄露,您的用户将有效地面临收到不是由您构建的应用程序更新的风险,并且您几乎无能为力(在这种情况下,有一个关键升级选项,但只会影响您应用程序的新用户,而不影响已经安装了您的应用程序的用户) .
因此,当您注册 Play Signing 时,我建议您生成一个新的强上传密钥,独立于您的应用签名密钥。
推荐阅读
- javascript - 如何在javascript中显示和隐藏表格的行
- c# - dotnet test 命令未显示来自 IOutputHelper 的消息
- java - 在 if else 语句中同时使用多个条件
- css - 动画按钮 CSS
- java - Maven 自定义插件创建和执行
- python - Python AsyncIO 阻塞
- php - 显示上次更新时间而不是发布时间
- coldfusion - 从 HTML 表创建 cfquery 对象
- nativescript - 如何在 Nativescript 的 Textview 中添加图像?
- javascript - 在 iFrame 中调用 ASPX 文件