如何在 github 操作中使用 GPG 密钥?
How to use GPG key in github actions?
我正在尝试通过 GitHub actions 进行 Maven 部署,但出现以下错误:-
gpg: directory '/home/runner/.gnupg' created
gpg: keybox '/home/runner/.gnupg/pubring.kbx' created
gpg: no default secret key: No secret key
gpg: signing failed: No secret key
[INFO] ------------------------------------------------------------------------
[INFO] BUILD FAILURE
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 13.272 s
[INFO] Finished at: 2020-04-06T12:18:44Z
[INFO] ------------------------------------------------------------------------
[ERROR] Failed to execute goal org.apache.maven.plugins:maven-gpg-plugin:1.5:sign (sign-artifacts) on project pretty-simple-jar: Exit code: 2 -> [Help 1]
我知道我需要以某种方式在操作工作流程为 运行 的虚拟运行器中导入我的 gpg 密钥,但我无法找到一种方法来通过GitHub 操作工作流程?
以下是我的工作流程:-
jobs:
publish:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v2
- name: Set up Maven Central Repository
uses: actions/setup-java@v1
with:
java-version: 1.8
- name: Display settings.xml
run: |
echo "<settings><servers><server><id>ossrh</id><username>${{ secrets.OSSRH_USERNAME }}</username><password>${{ secrets.OSSRH_TOKEN }}</password></server></servers><profiles><profile><id>ossrh</id><activation><activeByDefault>true</activeByDefault></activation><properties><gpg.keyname>${{ secrets.GPG_KEY_ID }}</gpg.keyname><gpg.passphrase>'${{ secrets.GPG_PASSPHRASE }}'</gpg.passphrase></properties></profile></profiles></settings>" > /home/runner/.m2/settings.xml
cat /home/runner/.m2/settings.xml
- name: Build Maven Project
run: mvn clean install
- name: Publish to Apache Maven Central
run: mvn deploy
由于 GitHub Actions 基本上是一个运行命令的容器,您是否考虑过 将您的密钥定义为项目的秘密,然后将其导入到您的 Github Action 定义中?
以下是我之前在项目中使用的将生成的工件发布到 Sonatype 的暂存存储库的步骤:
- 打开一个终端window。
- 如果您不知道您的密钥 ID,请通过电子邮件搜索:
gpg --list-secret-keys user@example.com
- 将您的密钥导出为 Base64:
gpg --export-secret-keys YOUR_ID_HERE | base64 > private.key
- 在您的 Github 项目中,创建一个名为 GPG_SIGNING_KEY 的新 Secret,然后粘贴密钥的 Base64 内容。
- 在您的 yml 工作流文件中,包括一个从您刚刚定义的秘密中导入密钥的步骤。
- name: Configure GPG Key
run: |
echo -n "$GPG_SIGNING_KEY" | base64 --decode | gpg --import
env:
GPG_SIGNING_KEY: ${{ secrets.GPG_SIGNING_KEY }}
到目前为止,它工作得很好,尽管有一些我无法解决的限制:
- 您的 GPG 密钥不应受密码保护。我想不出一种方法来导入受保护的密钥而不被要求提供它们的秘密。
- 我找不到在这个过程中使用我的 GitHub GPG 密钥的方法。
以防万一,here is a working example of a project using this approach to publish Maven artifacts. The only difference from the steps above, though, is that the commands were externalized into a bash script file.
您还可以使用另一个插件 https://www.simplify4u.org/sign-maven-plugin/ 对工件进行签名。
sign-maven-plugin 无需特殊配置,只需从环境变量中获取签名密钥和其余配置项。
sign-maven-plugin的另一个优点是您不需要使用配置文件来激活或停用插件,因为当没有为插件预设签名密钥时,插件会跳过执行而不会出错。
添加一个新答案,因为这个问题特别是关于在 maven 部署中使用 GPG 密钥:
同时,setup-java 操作支持开箱即用的所有内容,如 README 文件中所述:
- name: Set up Apache Maven Central
uses: actions/setup-java@v3
with: # running setup-java again overwrites the settings.xml
java-version: 8
distribution: 'temurin'
cache: 'maven'
server-id: ossrh # Value of the distributionManagement/repository/id field of the pom.xml
server-username: OSSRH_USERNAME # env variable for username in deploy
server-password: OSSRH_TOKEN # env variable for token in deploy
gpg-private-key: ${{ secrets.MAVEN_GPG_PRIVATE_KEY }} # Value of the GPG private key to import
gpg-passphrase: MAVEN_GPG_PASSPHRASE # env variable for GPG private key passphrase
- name: Publish to Apache Maven Central
run: mvn deploy
env:
OSSRH_USERNAME: ${{ secrets.OSSRH_USERNAME }}
OSSRH_TOKEN: ${{ secrets.OSSRH_TOKEN }}
MAVEN_GPG_PASSPHRASE: ${{ secrets.GPG_PASSPHRASE }}
请注意,setup-java 操作会自动为您配置 Maven 的 settings.xml 文件 并且 从给定的存储秘密中导入 GPG 密钥。
请注意,在 setup-java 期间,您仅配置环境变量的 names。 IE。您需要在后面的步骤中为这些 env 变量提供(秘密)值,您要在其中使用它们。
谢谢大家的回复。我现在使用此 GitHub 操作,使过程更加简单:
第 1 步:提取密钥
gpg --list-secret-keys --keyid-format LONG
gpg --export-secret-keys --armor {your_keyId}
第 2 步:将提取的 GPG 密钥和密码存储为机密
第 3 步:将此步骤包含在您的工作流程中
- name: Import GPG Key
uses: crazy-max/ghaction-import-gpg@v1
env:
GPG_PRIVATE_KEY: ${{ secrets.GPG_PRIVATE_KEY }}
PASSPHRASE: ${{ secrets.GPG_PASSPHRASE }}
我正在尝试通过 GitHub actions 进行 Maven 部署,但出现以下错误:-
gpg: directory '/home/runner/.gnupg' created
gpg: keybox '/home/runner/.gnupg/pubring.kbx' created
gpg: no default secret key: No secret key
gpg: signing failed: No secret key
[INFO] ------------------------------------------------------------------------
[INFO] BUILD FAILURE
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 13.272 s
[INFO] Finished at: 2020-04-06T12:18:44Z
[INFO] ------------------------------------------------------------------------
[ERROR] Failed to execute goal org.apache.maven.plugins:maven-gpg-plugin:1.5:sign (sign-artifacts) on project pretty-simple-jar: Exit code: 2 -> [Help 1]
我知道我需要以某种方式在操作工作流程为 运行 的虚拟运行器中导入我的 gpg 密钥,但我无法找到一种方法来通过GitHub 操作工作流程?
以下是我的工作流程:-
jobs:
publish:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v2
- name: Set up Maven Central Repository
uses: actions/setup-java@v1
with:
java-version: 1.8
- name: Display settings.xml
run: |
echo "<settings><servers><server><id>ossrh</id><username>${{ secrets.OSSRH_USERNAME }}</username><password>${{ secrets.OSSRH_TOKEN }}</password></server></servers><profiles><profile><id>ossrh</id><activation><activeByDefault>true</activeByDefault></activation><properties><gpg.keyname>${{ secrets.GPG_KEY_ID }}</gpg.keyname><gpg.passphrase>'${{ secrets.GPG_PASSPHRASE }}'</gpg.passphrase></properties></profile></profiles></settings>" > /home/runner/.m2/settings.xml
cat /home/runner/.m2/settings.xml
- name: Build Maven Project
run: mvn clean install
- name: Publish to Apache Maven Central
run: mvn deploy
由于 GitHub Actions 基本上是一个运行命令的容器,您是否考虑过 将您的密钥定义为项目的秘密,然后将其导入到您的 Github Action 定义中?
以下是我之前在项目中使用的将生成的工件发布到 Sonatype 的暂存存储库的步骤:
- 打开一个终端window。
- 如果您不知道您的密钥 ID,请通过电子邮件搜索:
gpg --list-secret-keys user@example.com - 将您的密钥导出为 Base64:
gpg --export-secret-keys YOUR_ID_HERE | base64 > private.key - 在您的 Github 项目中,创建一个名为 GPG_SIGNING_KEY 的新 Secret,然后粘贴密钥的 Base64 内容。
- 在您的 yml 工作流文件中,包括一个从您刚刚定义的秘密中导入密钥的步骤。
- name: Configure GPG Key
run: |
echo -n "$GPG_SIGNING_KEY" | base64 --decode | gpg --import
env:
GPG_SIGNING_KEY: ${{ secrets.GPG_SIGNING_KEY }}
到目前为止,它工作得很好,尽管有一些我无法解决的限制:
- 您的 GPG 密钥不应受密码保护。我想不出一种方法来导入受保护的密钥而不被要求提供它们的秘密。
- 我找不到在这个过程中使用我的 GitHub GPG 密钥的方法。
以防万一,here is a working example of a project using this approach to publish Maven artifacts. The only difference from the steps above, though, is that the commands were externalized into a bash script file.
您还可以使用另一个插件 https://www.simplify4u.org/sign-maven-plugin/ 对工件进行签名。
sign-maven-plugin 无需特殊配置,只需从环境变量中获取签名密钥和其余配置项。
sign-maven-plugin的另一个优点是您不需要使用配置文件来激活或停用插件,因为当没有为插件预设签名密钥时,插件会跳过执行而不会出错。
添加一个新答案,因为这个问题特别是关于在 maven 部署中使用 GPG 密钥:
同时,setup-java 操作支持开箱即用的所有内容,如 README 文件中所述:
- name: Set up Apache Maven Central
uses: actions/setup-java@v3
with: # running setup-java again overwrites the settings.xml
java-version: 8
distribution: 'temurin'
cache: 'maven'
server-id: ossrh # Value of the distributionManagement/repository/id field of the pom.xml
server-username: OSSRH_USERNAME # env variable for username in deploy
server-password: OSSRH_TOKEN # env variable for token in deploy
gpg-private-key: ${{ secrets.MAVEN_GPG_PRIVATE_KEY }} # Value of the GPG private key to import
gpg-passphrase: MAVEN_GPG_PASSPHRASE # env variable for GPG private key passphrase
- name: Publish to Apache Maven Central
run: mvn deploy
env:
OSSRH_USERNAME: ${{ secrets.OSSRH_USERNAME }}
OSSRH_TOKEN: ${{ secrets.OSSRH_TOKEN }}
MAVEN_GPG_PASSPHRASE: ${{ secrets.GPG_PASSPHRASE }}
请注意,setup-java 操作会自动为您配置 Maven 的 settings.xml 文件 并且 从给定的存储秘密中导入 GPG 密钥。
请注意,在 setup-java 期间,您仅配置环境变量的 names。 IE。您需要在后面的步骤中为这些 env 变量提供(秘密)值,您要在其中使用它们。
谢谢大家的回复。我现在使用此 GitHub 操作,使过程更加简单:
第 1 步:提取密钥
gpg --list-secret-keys --keyid-format LONG
gpg --export-secret-keys --armor {your_keyId}
第 2 步:将提取的 GPG 密钥和密码存储为机密
第 3 步:将此步骤包含在您的工作流程中
- name: Import GPG Key
uses: crazy-max/ghaction-import-gpg@v1
env:
GPG_PRIVATE_KEY: ${{ secrets.GPG_PRIVATE_KEY }}
PASSPHRASE: ${{ secrets.GPG_PASSPHRASE }}