More than 5 years have passed since last update.

【Android】Google Play App Signingのススメ

Android

Last updated at 2019-01-23Posted at 2017-08-20

Google I/O 2017で発表されたGoogle Play App Signingの紹介です。

Google Play App Signing とは

Google Playに鍵をアップロードすることで、アプリリリース時にアップロードするAPKに対してGoogle Playにアップロードした鍵を利用してAPKに再署名し、ユーザーに配信することができる機能です。

既存の方法

既存の方法（Google Play App Signingを使わない方法）だと以下のようなリスクがあります。

リリース用の鍵を紛失した場合、アプリのアップデートができなくなる。（新しいアプリとして新しいパッケージ名で公開する必要がある）
リリース用の鍵を盗難された場合、他人が偽物のアプリを作れるようになってしまう。

Google Play App Signingを利用することで、これらのリスクを軽減することができます。

Google Play App Signingの使い方

新規アプリの場合

新規アプリの場合は簡単で、Google Play Consoleの「アプリのリリース」を開いて「次へ」を押すだけです。

「次へ」を押下すると即座に有効化されます。

他アプリで使っている署名鍵の再利用をすることもできます。

既存アプリの場合

1. Google Play Consoleのアプリの署名を開く

Google Play Consoleの左カラムの「リリース管理」の「アプリの署名」を開きます。

ちなみに「リリース管理」の「アプリのリリース」にも以下のような表示があるので「使ってみる」を押すと「アプリの署名」のページに遷移します。

2. 秘密鍵のエクスポートと暗号化

PEPKツールをダウンロードするボタンがあるのでダウンロードして秘密鍵のエクスポートと暗号化を行います。

（PEPK ツール: PEPK（Play Encrypt Private Key）は、Google Play アプリ署名への登録手続きの際に、秘密鍵を Java Keystore からエクスポートし、Google Play への送信前に暗号化するツールです。）

PEPKツールをダウンロードしたら実行します。

$ java -jar pepk.jar --keystore=foo.keystore --alias=foo --output=encrypted_private_key_path --encryptionkey=*****
Enter store password:
Enter key password:

オプション説明

keystore: 秘密鍵のファイル名を指定します。
alias: 秘密鍵のエイリアスを指定します。
output: 暗号化されたアプリ署名の出力先を指定します。
encryptionkey: 暗号化キーです。（これはGoogle Play Consoleに記載されているものをそのまま指定します）

もしaliasが分からない場合はAndroid StudioのメニューからBuild > Generate Signed APKを選択して確認できます。

3. 暗号化されたアプリ署名の秘密鍵をアップロード

アップロードボタンがあるので前の手順で作成した暗号化されたアプリ署名の秘密鍵をアップロードします。

4. アップロード鍵の生成

新しくアップロード鍵を生成します。
詳しくは「アプリの署名 | Android Studio」の「キーとキーストアを生成する」の項目を参照してください。

5. アップロード鍵の証明書をPEM形式でエクスポート

$ keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
Enter keystore password:
Certificate stored in file <upload_certificate.pem>

オプション説明