Luc*_*sca 6 security android export keystore
我是一名兼职自由开发者.我有自己的密钥库文件,用于签署我为客户构建的apk文件.我给我的客户提供了完整的源代码以及签名的apk文件.大多数情况下,如果不是总是,我的客户会授权我的Google帐户管理他们的Google Play开发者控制台.但是我没有把我的密钥库给我的客户("显然!"我认为).
我的一个客户,即软件公司,已将已发布应用程序的代码转移到另一个软件公司,因为最终客户决定更换供应商.我的客户还将当前发布的应用程序转移到新软件公司的Google Play帐户.新的软件公司现在需要我的密钥库来更新应用程序而不更改其ID(或者,至少,这是他们要求的).
现在问题是我的密钥库应该保持私密和安全,我不应该把它交给任何人.我可以导出我用来签署该应用程序的证书,例如:
keytool -exportcert -alias ...
但我不知道两件事:
1)导出的证书是否足以新软件公司更新已发布的应用程序而不更改其ID?
2)我过去使用相同证书签署的其他应用程序的安全性是否仍然有效?
编辑后的Nasch评论:
为每个客户端(甚至每个应用程序)使用不同的密钥库似乎是一种合理的解决方法,但也必须存在真正的解决方案.
假设我采用了这种解决方法,当我创建一个新证书(无论是单个客户端还是单个应用程序)时,keytool会询问我的姓名和地址等问题.无论我输入我的或客户的数据,该数据将永远绑定到该证书,AFAIK.但是我不希望它也永远绑定到应用程序代码,因为我的客户端总是可以决定将该代码传输给其他人,这正是我的情况.因此,虽然为每个应用程序使用不同的证书可能在技术上解决了一些问题,但它仍然导致Software House 2使用Software House 1颁发的证书签署其代码的情况.有点奇怪.
| 归档时间: |
|
| 查看次数: |
944 次 |
| 最近记录: |