不久前,我将自己的应用上传到谷歌Play(游戏邦注:当时它还叫Android Market)。
今天我更新了应用程序,但我已经删除了以前的密钥存储库,并创建了一个新的。 上传时,它说APK必须与之前的版本使用相同的证书进行签名:
上传失败 您上传了一个使用不同证书签名的APK到以前的APK。必须使用相同的证书。 您现有的apk已使用带有指纹的证书进行签署: [SHA1: 89:2F: 11: FE: CE: D6: CC: DF: 65: E7:76:3E: DD: A7:96:4F: 84: DD: BA: 33) 用于签署您上传的APK的证书具有指纹: (SHA1: 20:26: F4: C1: DF: 0 f: 2 b: D9:46:03: FF:阿瑟:07:B1:28:7B: 9 c: 75:44: CC]
但是我没有这个证书,也不想删除并重新发布应用程序,因为它有活动用户。
如何用新证书签署我的应用程序?
当前回答
没什么。阅读文档:Publishing Updates on Android Market
在上传更新后的应用程序之前,请确保您已经在清单文件的元素中增加了android:versionCode和android:versionName属性。另外,包名必须相同,.apk必须使用相同的私钥签名。如果软件包名称和签名证书与现有版本不匹配,Market将认为它是一个新的应用程序,不会将其作为更新提供给用户。
其他回答
什么都没有-谷歌清楚地表示应用程序是由用于签名的密钥标识的。因此,如果您丢失了密钥,则需要创建一个新的应用程序。
我强烈推荐Keystore Explorer (https://keystore-explorer.org/),它可以让您访问密钥存储库,而无需将其上传到谷歌Play。这样,您就可以排除是否输入了错误的密码。
您是否错误地使用调试密钥签名?
谷歌Play不允许您发布使用调试密钥库签名的应用程序。如果您尝试上传这样一个APK,谷歌播放将失败,并提示“您上传了一个在调试模式下签名的APK。你需要在释放模式下签署APK。”
但是,如果您尝试上传使用调试密钥库签名的更新,则不会看到此消息;谷歌播放将显示问题中所示的消息,指的是SHA1指纹。
因此,首先,检查是否错误地用调试密钥为应用程序签名。
如何检查使用了哪些签名密钥?
从APK收集信息
您可以使用以下命令,使用Java keytool检查原始APK和更新APK使用了哪些证书:
keytool -printcert -jarfile original.apk
keytool -printcert -jarfile update.apk
这显示了APK如何签署的详细信息,例如:
Owner: CN=My App, O=My Company, L=Somewhere, C=DE
Issuer: CN=My App, O=My Company, L=Somewhere, C=DE
Serial number: 4790b086
Valid from: Mon Nov 11 15:01:28 GMT 2013 until: Fri Mar 29 16:01:28 BST 2041
Certificate fingerprints:
MD5: A3:2E:67:AF:74:3A:BD:DD:A2:A9:0D:CA:6C:D4:AF:20
SHA1: A6:E7:CE:64:17:45:0F:B4:C7:FC:76:43:90:04:DC:A7:84:EF:33:E9
SHA256: FB:6C:59:9E:B4:58:E3:62:AD:81:42:...:09:FC:BC:FE:E7:40:53:C3:D8:14:4F
Signature algorithm name: SHA256withRSA
Version: 3
这里需要注意的重要部分(对于每个APK)是SHA1指纹值、所有者身份值和有效日期。
如果keytool命令不起作用(-jarfile选项需要Java 7),你可以通过jarsigner命令获得更多的基本信息:
jarsigner -verify -verbose:summary -certs original.apk
jarsigner -verify -verbose:summary -certs update.apk
不幸的是,这没有显示SHA1指纹,但显示了X.509所有者身份以及证书的过期日期。例如:
sm 4642892 Thu Apr 17 10:57:44 CEST 2014 classes.dex (and 412 more)
X.509, CN=My App, O=My Company, L=Somewhere, C=DE
[certificate is valid from 11/11/13 12:12 to 29/03/41 12:12]
[CertPath not validated: Path does not chain with any of the trust anchors]
您可以忽略任何“CertPath未验证”消息,以及有关证书链或时间戳的警告;它们与本案无关。
比较apk之间的Owner、SHA1和Expiry值
如果Owner/X.;509的身份值为CN=Android Debug, O=Android, C=US,那么您已经用您的调试密钥签署了APK,而不是原始的发布密钥 如果原始apk和更新apk之间的SHA1指纹值不同,则您没有对两个apk使用相同的签名密钥 如果Owner/X.;509身份值不同,或者两个apk之间的证书到期日期不同,则您没有对两个apk使用相同的签名密钥
注意,即使Owner/X。509的值在两个证书之间是相同的,这并不意味着证书是相同的-如果其他任何地方不匹配-例如指纹值-那么证书是不同的。
搜索原始密钥存储库,检查备份
如果两个apk具有不同的证书信息,则必须找到原始的密钥存储库,即谷歌Play(或keytool)告诉您的具有第一个SHA1指纹值的文件。
搜索您在计算机上可以找到的所有密钥存储库文件,以及您拥有的任何备份,直到您拥有具有正确SHA1指纹的密钥存储库文件:
keytool -list -keystore my-release.keystore
如果提示输入密码,只需按Enter -如果只是想快速检查SHA1值,则不必输入密码。
我在任何地方都找不到原始的密钥存储库
如果找不到原始的密钥存储库,就永远无法向这个特定的应用程序发布任何更新。
Android在Signing Your Application页面中明确提到了这一点:
警告:将您的密钥存储库和私有密钥保存在一个安全的地方,并确保您有它们的安全备份。如果你发布一个应用到谷歌Play,然后丢失了你签名应用程序的密钥,你将不能发布任何更新到你的应用程序,因为你必须总是用相同的密钥签名你的应用程序的所有版本。
在APK的第一个发行版之后,所有后续发行版都必须使用完全相同的密钥进行签名。
我可以从原始APK中提取原始签名密钥吗?
不。这是不可能的。APK只包含公共信息,不包含您的私钥信息。
我可以迁移到新的签名密钥吗?
不。即使您找到了原始版本,也不能使用密钥A签署APK,然后使用密钥A和B签署下一次更新,然后仅使用密钥B签署下一次更新。
使用多个密钥对APK(或任何JAR文件)进行签名在技术上是可行的,但谷歌Play不再接受具有多个签名的APK。
尝试这样做将导致消息“您的APK已使用多个证书进行签名。请只签署一个证书,并重新上传。”
我该怎么办?
你必须用一个新的应用程序ID来构建你的应用程序(例如从“com.example”更改。myapp”到“com.example.myapp2”),并在谷歌Play上创建一个全新的列表。
可能你还需要改变你的代码,以便人们可以安装新的应用程序,即使他们已经安装了旧的应用程序,例如,你需要确保你没有冲突的内容提供者。
你将失去现有的安装基础和评论等,并必须找到一种方法让现有客户卸载旧应用并安装新版本。
同样,请确保您拥有此版本所使用的密钥存储库和密码的安全备份。
我最近遇到过这个问题,在尝试了不同的登录方式后,比如启用V1或V2,通过更改别名登录,最后才知道我使用了错误的密钥存储文件
如果你有之前的apk文件(备份),那么使用jarSigner从apk中提取证书,然后使用该密钥或使用keytool克隆该证书,可能会有帮助… 有帮助的链接是jarsigner文档和keytool文档。
