Gradle signArchives 无法读取密钥

Posted 2023-02-18

【中文标题】Gradle signArchives 无法读取密钥

【英文标题】：Gradle signArchives unable to read Secret Key

【发布时间】：2020-01-15 04:39:25

【问题描述】：

我正在尝试将我的 Java 库发布到 Maven Central。其中一部分涉及使用signing gradle 插件对工件进行签名。我需要在不使用密钥环文件as document here 的情况下对其进行签名，因为我无法为我的 CI 提供对密钥环文件的安全访问。

但是，当我这样做时，我的构建失败了：

FAILURE: Build failed with an exception.

* What went wrong:
Could not evaluate onlyIf predicate for task ':signArchives'.
> Could not read PGP secret key

我做错了什么？我认为它与我的GPG_SIGNING_KEY 有关。 我使用了来自gpg --list-secret-keys --keyid-format LONG 响应的完整私钥。这不正确吗？

---

我的build.gradle

apply plugin: 'java'
apply plugin: 'signing'
apply plugin: 'maven'
apply from: 'publish.gradle'

sourceCompatibility = 1.8

repositories 
    mavenCentral()


dependencies 
    compile group: 'org.apache.httpcomponents', name: 'httpclient', version: '4.5.3'
    testCompile 'junit:junit:4.11'


task Wrapper(type: Wrapper) 
    gradleVersion = '5.6.2'

我的publish.gradle

apply plugin: 'maven'
apply plugin: 'signing'

def isReleaseBuild() 
    return !VERSION.contains("SNAPSHOT")


def getReleaseRepositoryUrl() 
    return 'https://oss.sonatype.org/service/local/staging/deploy/maven2/'


def getSnapshotRepositoryUrl() 
    return 'https://oss.sonatype.org/content/repositories/snapshots/'


afterEvaluate  project ->
    uploadArchives 
        repositories 
            mavenDeployer 
                beforeDeployment  MavenDeployment deployment -> signing.signPom(deployment) 

                repository(url: getReleaseRepositoryUrl()) 
                    def os-s-rhUsername = Os-s-rH_USERNAME
                    def os-s-rhPassword = Os-s-rH_PASSWORD

                    authentication(userName: os-s-rhUsername, password: os-s-rhPassword)
                

                snapshotRepository(url: getSnapshotRepositoryUrl()) 
                    def os-s-rhUsername = Os-s-rH_USERNAME
                    def os-s-rhPassword = Os-s-rH_PASSWORD

                    authentication(userName: os-s-rhUsername, password: os-s-rhPassword)
                

                pom.groupId = GROUP_ID
                pom.artifactId = ARTIFACT_ID
                pom.version = VERSION

                pom.project 
                    name ARTIFACT_ID
                    packaging PROJECT_PACKAGING
                    description PROJECT_DESCRIPTION
                    url PROJECT_URL

                    scm 
                        url SCM_URL
                        connection SCM_CONNECTION
                    

                    licenses 
                        license 
                            name LICENSE_NAME
                            url LICENSE_URL
                        
                    

                    organization 
                        name = ORGANIZATION_NAME
                        url = ORGANIZATION_URL
                    

                    developers 
                        developer 
                            id DEVELOPER_ID
                            name DEVELOPER_NAME
                            email DEVELOPER_EMAIL
                        
                    
                
            
        

        signing 
            required  isReleaseBuild() && gradle.taskGraph.hasTask("uploadArchives") 

            def signingKey = GPG_SIGNING_KEY
            def signingPassword = GPG_SIGNING_PASSWORD

            useInMemoryPgpKeys(signingKey, signingPassword)

            sign configurations.archives
        

        task javadocJar(type: Jar) 
            classifier = 'javadoc'
            from javadoc
        

        task sourcesJar(type: Jar) 
            classifier = 'sources'
            from sourceSets.main.allSource
        

        artifacts 
            archives javadocJar, sourcesJar
        
    

还有gradle.properties

RELEASE_REPOSITORY_URL='https://oss.sonatype.org/service/local/staging/deploy/maven2/'
SNAPSHOT_REPOSITORY_URL='https://oss.sonatype.org/content/repositories/snapshots/'
GPG_SIGNING_KEY=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
GPG_SIGNING_PASSWORD=the password used to encrypt the key
Os-s-rH_USERNAME=my os-s-rh username
Os-s-rH_PASSWORD=my os-s-rh password

VERSION=1.0.0
GROUP_ID=com.example
ARTIFACT_ID=project-name

PROJECT_PACKAGING=...
PROJECT_DESCRIPTION=...
PROJECT_URL=...

SCM_URL=...
SCM_CONNECTION=...

LICENSE_NAME=Apache License, Version 2.0
LICENSE_URL=...

ORGANIZATION_NAME=...
ORGANIZATION_URL=...

DEVELOPER_ID=...
DEVELOPER_NAME=...
DEVELOPER_EMAIL=...

【参考方案1】：

正如您所怀疑的，这里的秘密 PGP 密钥的格式是错误的。 useInMemoryPgpKeys 方法需要一个“ascii-armored in-memory PGP secret key”。 gpg --list-secret-keys 仅用于人类消费，甚至不显示密钥的“内容”。

您可以改用gpg --armor --export-secret-keys foobar@example.com 以正确格式获取密钥。使用您自己的密钥 ID（由 gpg --list-secret-keys 返回）或电子邮件地址，而不是 foobar@example.com。

要使用gradle.properties 文件中导出的密钥，您需要对换行符进行转义。例如，您可以为 GPG_SIGNING_KEY 属性附加一个新的工作行，如下所示：

gpg --armor --export-secret-keys foobar@example.com \
    | awk 'NR == 1  print "GPG_SIGNING_KEY="  1' ORS='\\n' \
    >> gradle.properties

（参见this answer，了解此处使用的主要awk 魔法。）

按照所述更新您的gradle.properties 文件（并使用您的构建脚本），我可以使用./gradlew signArchives 成功签署我的虚拟JAR 文件。

【讨论】：

所以当我在gradle.properties 中运行上面的命令时，我会得到类似以下内容的信息：GPG_SIGNING_KEY=\n-----BEGIN PGP PRIVATE KEY BLOCK-----\n\nxxx\nyyy\n-----END PGP PRIVATE KEY BLOCK-----\n 对吗？

效果很好。我还看到，如果您将ORS='\\n' 替换为ORS='\\n\\\n'，则密钥将作为多行属性插入（这对我来说似乎更整洁）。但是，如果您这样做，您应该手动从文件中删除最后的“\n\”，以便它与其他设置一起正常工作。