Italian Pubblicazione App sugli Store(s) - chiavi e certificati

luke2012

Well-Known Member
Licensed User
Longtime User
34527048-31567207-jpeg.119943

Ciao a tutti amici del compilatore :)
Scrivo questo post prima di tutto per confrontarmi con voi e perchè oltre che a me, penso sia utile anche ad altri come me che affrontano le stesse problematiche, quindi condivido con voi la mia esperienza.

Io nasco come programmatore ma negli ultimi anni devo cambiarmi ogni tanto il cappellino e mettere quello del "generatore" di documenti / procedure formali per poter creare accounts e pubblicare apps per conto terzi (principalmente aziende private).

La fase di progetto che sto gestendo, prevede che io (ufficialmente come soggetto impresa), vada a creare degli accounts (sia su Play Store che su Apple Store) facendo le veci dell'effettivo titolare (propietario) dei rispettivi accounts e quindi gestendo tutti i dati sensibili che ne conseguono (utenti, password, certificati, chiavi di firma etc etc) di propietà del cliente finale (non mio ma il cliente della mia cliente che è un impresa informatica anch'essa).

Quindi fatta questa doverosa premessa, in passato con miei clienti diretti (piccole aziende private), usavo un modus operandi (formale) di questo tipo:

1) Documento di preventivo
2) Lettera di incarico professionale

Dove nella lettera di incarico professionale era scritto nero su bianco (in formalese e con rispettivi P.IVA e nomi) che il cliente (azienda) mi autorizzava a creare l'account (Play Store) e a gestire i suoi dati (in modo formale citando articoli di legge etc).
Una volta avuto il semaforo verde (quindi la firma), io partivo a chiedere, salvare e usare, tutti i sui dati (compresa carta di credito richiesta sugli store) e partivo a creare accounts e a pubblicare su Play Store. In questo modo si ha il "back-end" (per non usare un'altra parola) parato.

Eccoci al punto...
CHIAVI E CERTIFICATI ?
Il problema che non mi sono mai posto (almeno parlando di Android / Play Store), sono le chiavi. Fino ad ora ho utilizzato la mia chiave di firma "Private sign key", compilavo l'app e facevo l'upload sull'account (Play Store) del cliente.
Ora che sto gestendo un cliente particolare (nel senso che è un ente pubblico) e non mio diretto ma cliente della l'azienda che mi ha commissionato l'app, mi sto chiedendo: ma è cosa buona e giusta compilare e firmare l'app del cliente (ente pubblico) con la mia chiave privata per poi pubblicarla sul loro account oppure dovrei generare una nuova"Private Sign Key" da associare ufficialmente al cliente finale (ovvero l'ente pubblico) ?

A voi è capitato di gestire uno scenario simile?
 

Attachments

  • 34527048-31567207.jpeg
    34527048-31567207.jpeg
    13.7 KB · Views: 406
Last edited:

Star-Dust

Expert
Licensed User
Longtime User
Ti posso dare la chiave del portone del condominio dove abito se ti può aiutare
 

luke2012

Well-Known Member
Licensed User
Longtime User
Ti posso dare la chiave del portone del condominio dove abito se ti può aiutare
Quindi è un modo per dire che (choice list a singola scelta):
1) Non conosci la risposta
2) Conosci la risposta ma non vuoi dirla
3) Non ti sei mai posto il problema
4) Conosci la risposta e vuoi dirla ma ti piace prima tergiversare usando un pò di umorismo ?

:)
 

Star-Dust

Expert
Licensed User
Longtime User
Io personalmente non conosco la risposta.

Immagino dovresti chiedere a loro stessi, se usare un loro account o usare quello tuo aziendale o uno creato adHoc

In genere enti di pubblica amministrazione hanno già un loro account una loro chiave, quindi non saprei dirti. Mai capitato di lavorare per lo stato .... o meglio lavoriamo per loro quasi meta dell'orario lavorativo visto che le trattenute sono quasi del 50%.
 
Last edited:

amorosik

Expert
Licensed User
34527048-31567207-jpeg.119943

Ciao a tutti amici del compilatore :)
Scrivo questo post prima di tutto per confrontarmi con voi e perchè oltre che a me, penso sia utile anche ad altri come me che affrontano le stesse problematiche, quindi condivido con voi la mia esperienza.

Io nasco come programmatore ma negli ultimi anni devo cambiarmi ogni tanto il cappellino e mettere quello del "generatore" di documenti / procedure formali per poter creare accounts e pubblicare apps per conto terzi (principalmente aziende private).

La fase di progetto che sto gestendo, prevede che io (ufficialmente come soggetto impresa), vada a creare degli accounts (sia su Play Store che su Apple Store) facendo le veci dell'effettivo titolare (propietario) dei rispettivi accounts e quindi gestendo tutti i dati sensibili che ne conseguono (utenti, password, certificati, chiavi di firma etc etc) di propietà del cliente finale (non mio ma il cliente della mia cliente che è un impresa informatica anch'essa).

Quindi fatta questa doverosa premessa, in passato con miei clienti diretti (piccole aziende private), usavo un modus operandi (formale) di questo tipo:

1) Documento di preventivo
2) Lettera di incarico professionale

Dove nella lettera di incarico professionale era scritto nero su bianco (in formalese e con rispettivi P.IVA e nomi) che il cliente (azienda) mi autorizzava a creare l'account (Play Store) e a gestire i suoi dati (in modo formale citando articoli di legge etc).
Una volta avuto il semaforo verde (quindi la firma), io partivo a chiedere, salvare e usare, tutti i sui dati (compresa carta di credito richiesta sugli store) e partivo a creare accounts e a pubblicare su Play Store. In questo modo si ha il "back-end" (per non usare un'altra parola) parato.

Eccoci al punto...
CHIAVI E CERTIFICATI ?
Il problema che non mi sono mai posto (almeno parlando di Android / Play Store), sono le chiavi. Fino ad ora ho utilizzato la mia chiave di firma "Private sign key", compilavo l'app e facevo l'upload sull'account (Play Store) del cliente.
Ora che sto gestendo un cliente particolare (nel senso che è un ente pubblico) e non mio diretto ma cliente della l'azienda che mi ha commissionato l'app, mi sto chiedendo: ma è cosa buona e giusta compilare e firmare l'app del cliente (ente pubblico) con la mia chiave privata per poi pubblicarla sul loro account oppure dovrei generare una nuova"Private Sign Key" da associare ufficialmente al cliente finale (ovvero l'ente pubblico) ?

A voi è capitato di gestire uno scenario simile?

Sto tentando di completare la trafila per pubblicare su Play Store, con innumerevoli difficolta', perche' non trovo una guida che mostri i passaggi
Potresti dirmi come hai creato il tuo keystore ?
Obiettivo della domanda e' almeno far completare la procedura

java -jar pepk.jar --keystore=foo.keystore --alias=b4a --output=encrypted_private_key_path --encryptionkey=aaaaaaaaaaaaaaa9a20bbbbbbbbbbbbbbbbbbb

che allo stato attuale mi si interrompe e segnal "caccia fuori subito il keystore altrimenti non vado avanti"
 

LordZenzo

Well-Known Member
Licensed User
Longtime User
non ho mai avuto a che fare con questo tipo di "problema" ma, andando a naso, io preferirei una chiave generata per il cliente, che in caso di necessità/volontà del cliente puoi consegnare e dimenticare
 

luke2012

Well-Known Member
Licensed User
Longtime User
Sto tentando di completare la trafila per pubblicare su Play Store, con innumerevoli difficolta', perche' non trovo una guida che mostri i passaggi
Potresti dirmi come hai creato il tuo keystore ?
Obiettivo della domanda e' almeno far completare la procedura

java -jar pepk.jar --keystore=foo.keystore --alias=b4a --output=encrypted_private_key_path --encryptionkey=aaaaaaaaaaaaaaa9a20bbbbbbbbbbbbbbbbbbb

che allo stato attuale mi si interrompe e segnal "caccia fuori subito il keystore altrimenti non vado avanti"
Ciao,
a breve toccherà a me generare un nuovo keystore per il mio cliente finale (ente pubblico), quindi mi "divertirò" anche io.

Domanda1
"sto tentando di completare la trafila per pubblicare su Play Store, con innumerevoli difficolta', perche' non trovo una guida che mostri i passaggi" ---> intendi che hai cercato qui nel forum e non hai trovato nulla ?

Domanda2
Per "trafila" intendi solo la generazione del nuovo keystore e la relativa compilazione dell'app associando il keystore creato ? O anche la parte di creazione account Play Store etc etc ?

Comunque, per quanto riguarda il discorso keystore, guarda questo mio post nel forum internazionale (forse può aiutarti):
 

amorosik

Expert
Licensed User
Ciao,
a breve toccherà a me generare un nuovo keystore per il mio cliente finale (ente pubblico), quindi mi "divertirò" anche io.

Domanda1
"sto tentando di completare la trafila per pubblicare su Play Store, con innumerevoli difficolta', perche' non trovo una guida che mostri i passaggi" ---> intendi che hai cercato qui nel forum e non hai trovato nulla ?

Domanda2
Per "trafila" intendi solo la generazione del nuovo keystore e la relativa compilazione dell'app associando il keystore creato ? O anche la parte di creazione account Play Store etc etc ?

Comunque, per quanto riguarda il discorso keystore, guarda questo mio post nel forum internazionale (forse può aiutarti):

1 No, e' chiaro che c'e' molto, ma intendo dire che ho provato a seguire il tutorial iniziale di Erel del 2018 mi sembra, ma non riuscivo a proseguire perche' ci sono rimandi a questa o quella procedura, e spesso le schermate presentate non sono quelle attuali, rendendo difficoltoso completare l'intera procedura, insomma se uno non ha mai eseguito questa sequenza di operazioni e non e' pratico nell'uso dei keystore e programmi per creare/estrarre chiavi, non riesce a raggiungere la fine

2 per trafila intendo tutta la sequenza di azioni necessarie per poter pubblicare su Play Store un apk, ad esempio vedo che quasi tutti danno per scontato che un keystore gia' ci sia sul pc "..perche' tanto avrai gia' pubblicato su Play Store almeno una volta..." (se avessi gia' pubblicato almeno una volta saprei gia' come fare, non ti pare?), nel mio caso non c'era e le informazioni per capire come fare per crearlo sono arrivate da altri utenti, o comunque nella procedura originale di Erel e documenti indicati, non c'e' nessun riferimento a questo
 
Top