Witam wszystkich 🙂
Potrzebuje pomocy w dokładniejszym zrozumieniu podpisywania aplikacji. Posiadam już jedną aplikacje, oczywiście podpisaną i opublikowaną, jednakże chciałabym dokładniej wiedzieć, co tak naprawdę robię, ponieważ z podpisem cyfrowym nie miałam zbyt dużej styczności.
Do podpisywania używam narzędzia "keytool" Jak dobrze rozumiem "keytool" tworzy magazyn kluczy, czyli jeden plik, w którym mogę zapisać wiele kluczy chroniony hasłem, że tak ujmę "głównym". Dalej jest to dla mnie troszkę niejasne, wiec napisze to w taki sposób, w jaki o tym myślę. W magazynie tworze parę alias-hasło, rozumiem to jako "nazwa" oraz hasło do niego. Tą parą alias-hasło podpisuje swoja aplikacje pierwszy raz i za każdym razem, gdy ja aktualizuje. W przypadku innego klucza Google uzna, że nie jestem wydawca, ponieważ nie będzie się on zgadzał z tym który został przesłany z pierwsza wersja aplikacji. Czyli każdą moją aplikację identyfikuje para alias-haslo na podstawie którego generowany jest certyfikat cyfrowy dołączony do aplikacji, a nie sam magazyn. Każda aplikacja ma inny identyfikator wynikający z pary alias-hasło, ale konkretnie przypisany do aplikacji.
Czy jednak gdzieś jest zaszyta informacja, że każda aplikacja podpisana innym kluczem jest ode mnie? Bo przy tworzeniu magazynu "keytool" zadaje parę pytań.
Dla każdej nowej aplikacji będę używać swojego magazynu z kolejna nową para alias-hasło. Czy w uproszczeniu tak mam rozumieć strukturę?
-Magazyn chroniony hasłem
|
+alias_1 haslo_1 dla 1 aplikacji
|
+alias_2 haslo_2 dla 2 aplikacji
|
+alias_3 haslo_3 dla 3 aplikacji
|
itd....
Przeglądając angielskie strony natknęłam się na dużo uwag na temat bezpieczeństwa magazynu np. aby nie trzymać go w domyślnym katalogu czy aż tak trzeba na niego uważać? Nawet na stronie Gogola są informacje odnośnie bezpieczeństwa, ale bardziej na temat samych kluczy, co jest zrozumiale i logiczne.
Jeszcze ostatnie pytanie znalazłam informacje, że można mieć kilka magazynów np. z jedną parą alias-hasło dla danej aplikacji czy to prawda i dobry pomysł? Wiec mnie jako wydawcę identyfikuje para alias-hasło zaszyfrowana z dołączonym certyfikatem cyfrowym ale musi być utworzony konkretnie z mojego magazynu?
Mam nadzieje, że napisałam to możliwe zrozumiale, liczę na wasze odpowiedzi.
Pozdrawiam Natalia 🙂