无法使用Jenkins签署iOS版本

时间:2012-03-08 23:03:57

标签: ios jenkins launchd

我们的Jenkins CI构建服务器是在运行OSX Lion(10.7.3)的Mac Mini上设置的,我无法对其进行签名,因此可以将它们上传到TestFlight。

该进程以名为jenkins的普通用户身份运行,并在启动时使用launchd启动。 (外部世界无法访问该计算机,因此在普通用户帐户下运行此计算机不会出现任何安全问题。)

以下是jenkins控制台输出中的错误:

[workspace] $ /usr/bin/xcodebuild -target iMobileStCloud -configuration Release clean build
=== CLEAN NATIVE TARGET MyApp OF PROJECT MyProject WITH CONFIGURATION Release ===
Check dependencies
[BEROR]Code Sign error: The identity 'iPhone Distribution' doesn't match any valid certificate/private key pair in the default keychain
  

部分问题似乎是在启动时从launchd启动进程时只有系统密钥链可用。我在构建过程中添加了一个脚本来列出密钥链:

[workspace] $ /bin/sh -xe /var/folders/1y/1q3st_ss58z9ffj4dwbkdw8r0000gt/T/hudson8514187812830984272.sh
+ /usr/bin/security list-keychains
    "/Library/Keychains/System.keychain"
    "/Library/Keychains/applepushserviced.keychain"
    "/Library/Keychains/System.keychain"
+ /usr/bin/security find-identity

我能找到两个解决方法,但两者都不可行:

  1. 如果我们每次重启机器时都登录服务器并重启启动进程,那么jenkins就可以加载登录密钥链并访问证书进行签名:

    sudo launchctl unload /Library/LaunchDaemons/org.jenkins-ci.plist
sudo launchctl load /Library/LaunchDaemons/org.jenkins-ci.plist

  2. 我们可以将证书添加到系统密钥链中,但这意味着我们无法使用此计算机来执行我们的应用商店分发版本。 (Xcode不喜欢系统密钥链)。

    3. 还有其他人找到了其他可行的解决方法吗?除了launchd之外还有什么东西可以用来在OSX上启动时运行进程吗?

3 个答案:

答案 0 :(得分:21)

我通过在我的org.jenkins-ci.plist文件中添加SessionCreate = true来解决这个问题。此调用初始化安全框架。

来源:http://developer.apple.com/library/mac/#technotes/tn2083/_index.html

请参阅下面的全文:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>EnvironmentVariables</key>
 <dict>
   <key>JENKINS_HOME</key>
   <string>/Users/Shared/Jenkins/Home</string>
 </dict>
<key>GroupName</key>
<string>daemon</string>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>org.jenkins-ci</string>
<key>ProgramArguments</key>
<array>
  <string>/bin/bash</string>
  <string>/Library/Application Support/Jenkins/jenkins-runner.sh</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>jenkins</string>
<key>SessionCreate</key>
<true/>
</dict>
</plist>

答案 1 :(得分:4)

你也可以尝试我的替代Jenkins安装程序,它将Jenkins作为一个应用程序运行。

该项目位于https://github.com/stisti/jenkins-app。 下载位于https://github.com/stisti/jenkins-app/downloads

Jenkins需要在用户上下文中运行才能访问钥匙串。

答案 2 :(得分:3)

我遇到了同样的问题。主要问题实际上是在launchd启动LaunchDaemon时引起的。即使您指定要在其下运行launchd进程的用户也不会像以该用户身份登录一样运行它。这就是为什么你没有在Jenkins可用的钥匙串列表中看到登录钥匙串的原因。

我遇到了一个涉及调用su - yourbuilduser -c ./start-jenkins.sh的工作,其中start-jenkins.sh是一个自定义启动脚本,来自你的launch plist(作为LaunchDaemon)。这样可以保证访问登录密钥链,但是Jenkins难以从launchd控制。具体来说,您无法通过调用launctl unload ...来阻止Jenkins,您必须手动终止该过程。

目前,我们使用LaunchAgent中的plist(使用java -jar jenkins.war启动Jenkins而不是LaunchDaemons)运行我们的iOS CI。繁琐的这意味着您的用户必须登录到服务器(如果您的计算机位于您的专用网络或正确配置的DMZ中,则不会出现问题),但这也意味着Jenkins进程可以通过launchctl进行控制并且具有访问用户的钥匙串。您可以将用户设置为自动登录,以便在启动时获得Jenkins。

我已经成功实现了iOS二进制文件的持续交付管道的几乎每个方面的自动化,这是我的解决方案感觉不对的唯一部分(理想情况下,我只能使用可以访问的LaunchDaemon)到用户的钥匙串)。

相关问题
最新问题