不久前,我将自己的应用上传到谷歌Play(游戏邦注:当时它还叫Android Market)。

今天我更新了应用程序,但我已经删除了以前的密钥存储库,并创建了一个新的。 上传时,它说APK必须与之前的版本使用相同的证书进行签名:

上传失败 您上传了一个使用不同证书签名的APK到以前的APK。必须使用相同的证书。 您现有的apk已使用带有指纹的证书进行签署: [SHA1: 89:2F: 11: FE: CE: D6: CC: DF: 65: E7:76:3E: DD: A7:96:4F: 84: DD: BA: 33) 用于签署您上传的APK的证书具有指纹: (SHA1: 20:26: F4: C1: DF: 0 f: 2 b: D9:46:03: FF:阿瑟:07:B1:28:7B: 9 c: 75:44: CC]

但是我没有这个证书,也不想删除并重新发布应用程序,因为它有活动用户。

如何用新证书签署我的应用程序?


没什么。阅读文档:Publishing Updates on Android Market

在上传更新后的应用程序之前,请确保您已经在清单文件的元素中增加了android:versionCode和android:versionName属性。另外,包名必须相同,.apk必须使用相同的私钥签名。如果软件包名称和签名证书与现有版本不匹配,Market将认为它是一个新的应用程序,不会将其作为更新提供给用户。


什么都没有-谷歌清楚地表示应用程序是由用于签名的密钥标识的。因此,如果您丢失了密钥,则需要创建一个新的应用程序。


如果你有之前的apk文件(备份),那么使用jarSigner从apk中提取证书,然后使用该密钥或使用keytool克隆该证书,可能会有帮助… 有帮助的链接是jarsigner文档和keytool文档。


您是否错误地使用调试密钥签名?

谷歌Play不允许您发布使用调试密钥库签名的应用程序。如果您尝试上传这样一个APK,谷歌播放将失败,并提示“您上传了一个在调试模式下签名的APK。你需要在释放模式下签署APK。”

但是,如果您尝试上传使用调试密钥库签名的更新,则不会看到此消息;谷歌播放将显示问题中所示的消息,指的是SHA1指纹。

因此,首先,检查是否错误地用调试密钥为应用程序签名。


如何检查使用了哪些签名密钥?

从APK收集信息

您可以使用以下命令,使用Java keytool检查原始APK和更新APK使用了哪些证书:

keytool -printcert -jarfile original.apk
keytool -printcert -jarfile update.apk

这显示了APK如何签署的详细信息,例如:

Owner: CN=My App, O=My Company, L=Somewhere, C=DE
Issuer: CN=My App, O=My Company, L=Somewhere, C=DE
Serial number: 4790b086
Valid from: Mon Nov 11 15:01:28 GMT 2013 until: Fri Mar 29 16:01:28 BST 2041
Certificate fingerprints:
  MD5:  A3:2E:67:AF:74:3A:BD:DD:A2:A9:0D:CA:6C:D4:AF:20
  SHA1: A6:E7:CE:64:17:45:0F:B4:C7:FC:76:43:90:04:DC:A7:84:EF:33:E9
  SHA256: FB:6C:59:9E:B4:58:E3:62:AD:81:42:...:09:FC:BC:FE:E7:40:53:C3:D8:14:4F
         Signature algorithm name: SHA256withRSA
         Version: 3

这里需要注意的重要部分(对于每个APK)是SHA1指纹值、所有者身份值和有效日期。


如果keytool命令不起作用(-jarfile选项需要Java 7),你可以通过jarsigner命令获得更多的基本信息:

jarsigner -verify -verbose:summary -certs original.apk
jarsigner -verify -verbose:summary -certs update.apk

不幸的是,这没有显示SHA1指纹,但显示了X.509所有者身份以及证书的过期日期。例如:

sm  4642892 Thu Apr 17 10:57:44 CEST 2014 classes.dex (and 412 more)

    X.509, CN=My App, O=My Company, L=Somewhere, C=DE
    [certificate is valid from 11/11/13 12:12 to 29/03/41 12:12]
    [CertPath not validated: Path does not chain with any of the trust anchors]

您可以忽略任何“CertPath未验证”消息,以及有关证书链或时间戳的警告;它们与本案无关。

比较apk之间的Owner、SHA1和Expiry值

如果Owner/X.;509的身份值为CN=Android Debug, O=Android, C=US,那么您已经用您的调试密钥签署了APK,而不是原始的发布密钥 如果原始apk和更新apk之间的SHA1指纹值不同,则您没有对两个apk使用相同的签名密钥 如果Owner/X.;509身份值不同,或者两个apk之间的证书到期日期不同,则您没有对两个apk使用相同的签名密钥

注意,即使Owner/X。509的值在两个证书之间是相同的,这并不意味着证书是相同的-如果其他任何地方不匹配-例如指纹值-那么证书是不同的。


搜索原始密钥存储库,检查备份

如果两个apk具有不同的证书信息,则必须找到原始的密钥存储库,即谷歌Play(或keytool)告诉您的具有第一个SHA1指纹值的文件。

搜索您在计算机上可以找到的所有密钥存储库文件,以及您拥有的任何备份,直到您拥有具有正确SHA1指纹的密钥存储库文件:

keytool -list -keystore my-release.keystore

如果提示输入密码,只需按Enter -如果只是想快速检查SHA1值,则不必输入密码。


我在任何地方都找不到原始的密钥存储库

如果找不到原始的密钥存储库,就永远无法向这个特定的应用程序发布任何更新。

Android在Signing Your Application页面中明确提到了这一点:

警告:将您的密钥存储库和私有密钥保存在一个安全的地方,并确保您有它们的安全备份。如果你发布一个应用到谷歌Play,然后丢失了你签名应用程序的密钥,你将不能发布任何更新到你的应用程序,因为你必须总是用相同的密钥签名你的应用程序的所有版本。

在APK的第一个发行版之后,所有后续发行版都必须使用完全相同的密钥进行签名。


我可以从原始APK中提取原始签名密钥吗?

不。这是不可能的。APK只包含公共信息,不包含您的私钥信息。


我可以迁移到新的签名密钥吗?

不。即使您找到了原始版本,也不能使用密钥A签署APK,然后使用密钥A和B签署下一次更新,然后仅使用密钥B签署下一次更新。

使用多个密钥对APK(或任何JAR文件)进行签名在技术上是可行的,但谷歌Play不再接受具有多个签名的APK。

尝试这样做将导致消息“您的APK已使用多个证书进行签名。请只签署一个证书,并重新上传。”


我该怎么办?

你必须用一个新的应用程序ID来构建你的应用程序(例如从“com.example”更改。myapp”到“com.example.myapp2”),并在谷歌Play上创建一个全新的列表。

可能你还需要改变你的代码,以便人们可以安装新的应用程序,即使他们已经安装了旧的应用程序,例如,你需要确保你没有冲突的内容提供者。

你将失去现有的安装基础和评论等,并必须找到一种方法让现有客户卸载旧应用并安装新版本。

同样,请确保您拥有此版本所使用的密钥存储库和密码的安全备份。


在这里我得到了这个问题的答案。在搜索了太长时间后,我终于破解了这个密钥和密码。我忘记了我的钥匙和别名,也jks文件,但幸运的是,我知道一串密码,我把它。但找到正确的组合对我来说是最困难的任务。

解决方案- 下载这个- Keytool IUI版本2.4.1插件

窗口将弹出现在它显示别名..如果您的JKS文件正确.. 右键单击别名,点击“查看证书链”.. 它会显示SHA1键..匹配此密钥与您在谷歌应用程序商店上传apk时获得的密钥…

如果它匹配,那么你是正确的JKS文件和别名..

现在幸运的是我有一串密码来匹配..

现在转到这个屏幕,放入相同的JKS路径..和密码(在你拥有的密码中)在“证书文件”中输入任意路径

如果屏幕显示任何错误,那么密码不匹配..如果没有显示任何错误,则意味着您使用的是正确的JKS文件。正确的别名和密码() 现在,你可以上传你的apk在play商店:)


今天我遇到了同样的问题,不幸的是,我在我的密钥文件中有两个别名。


我最近遇到过这个问题,在尝试了不同的登录方式后,比如启用V1或V2,通过更改别名登录,最后才知道我使用了错误的密钥存储文件


我强烈推荐Keystore Explorer (https://keystore-explorer.org/),它可以让您访问密钥存储库,而无需将其上传到谷歌Play。这样,您就可以排除是否输入了错误的密码。


这事突然就发生了。我真的不认为我改变了什么。

但是,Build => Clean Project修复了它。


您可以使用新功能谷歌播放应用程序签名生成一个新的密钥文件。

2017年5月之后,谷歌播放商店在播放商店添加了一个新功能 这对Android开发者来说是个好消息。 通过此功能,开发人员可以更新丢失KeyStore文件的应用程序或Apk。 您需要在播放商店控制台启用谷歌播放应用程序签名。

https://support.google.com/googleplay/android-developer/answer/7384423?hl=en

http://www.geekcodehub.com/2018/05/23/keystore-lost-in-android/


我的[愚蠢]错误是我使用了app-debug.apk文件而不是app-release.apk文件。 当您生成签名APK时,您需要在“Build variables”框架中选择“release”。 app-release.apk文件应该位于项目根目录下的“app\release”文件夹下。


请检查你的android/app/build。Gradle文件

android{
    ...
    buildTypes {
        release {
        // signingConfig signingConfigs.debug
           signingConfig signingConfigs.release
        }
    }
    ...
}

在释放appbundle之前,它应该有signingConfig signingConfig。释放这一行enabled而不是signingConfig signingConfig .debug这一行。

我犯了这个愚蠢的错误。

我在其他设备上测试我的更新应用程序,通过在配置中发布调试登录,当我准备发布更新时,我没有更改配置,并发布了具有调试配置的捆绑包。

在我挠头大约一个小时后,我意识到我一直有这个调试配置,然后我把它改为发布模式,现在问题解决了。


什么对我有效:我意识到我之前上传了一个。aab文件,现在我试图上传。apk文件。我只需要在构建设置上检查构建应用程序包(谷歌Play)


对于Flutter开发者: 您需要重新验证密钥。属性文件。

android / key.properties


点击选择签到键(在AppBundle文本的顶部),并选择释放谷歌签名