Manquant des certificats et des clés dans le trousseau d'accès lors de l'utilisation de Jenkins/Hudson Intégration Continue pour iOS et Mac développement

Je suis en train d'améliorer Hudson CI pour iOS et commencer à Hudson dès que le système démarre. Pour ce faire, je suis en utilisant la suite de launchd script:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>Hudson CI</string>
    <key>ProgramArguments</key>
    <array>
    <string>/usr/bin/java</string>
    <string>-jar</string>
    <string>/Users/user/Hudson/hudson.war</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
    <key>UserName</key>
    <string>user</string>
</dict>
</plist>

Cela fonctionne OK mais quand xcodebuild, qui est lancé par Hudson, essaie de se connecter à une application, il échoue parce qu'il ne trouve pas la bonne clé/certificat dans le trousseau d'accès. Toutefois clé/certificat de la paire qui est là depuis qu'elle travaille corriger si je commence à Hudson à partir de la ligne de commande.

Avez-vous une idée pourquoi ça arrive?

InformationsquelleAutor Dmytro | 2011-07-26

20

Après avoir passé des heures et des jours avec ce problème je l'ai trouvé assez facile solution à cette question. Il n'a pas d'importance si vous avez un nom d'utilisateur distinct dans votre launchd de configuration comme indiqué ci-dessus:
```
<key>UserName</key>
<string>user</string>
```
Les certificats manquants et les clés sont sur le trousseau du système (/Library/Keychains/System.keychain). J'ai trouvé cette après-je configurer un jenkins travail qui exécute plusieurs security shell appels. Celle qui est intéressant, c'est security list-keychains:
```
+ security list-keychains
    "/Library/Keychains/System.keychain"
    "/Library/Keychains/applepushserviced.keychain"
    "/Library/Keychains/System.keychain"
```
Qui sont les porte-clés jenkins va rechercher les certificats et les clés de sorte qu'ils devraient être là. Après, j'ai déménagé mon certs il fonctionne. Assurez-vous également de copier le »Apple Worldwide Developer Relations d'Autorité de Certification« certificat pour le système de porte-clés, sinon, vous verrez un CSSMERR_TP_NOT_TRUSTED erreur de codesign.

Il est également possible d'enregistrer plus de porte-clés avec security list-keychains -s [path to additional keychains]. Je n'ai pas essayé, mais quelque chose comme security list-keychains -s $HOME/Library/Keychains/login.keychain comme un pré-construire l'exécution du shell dans jenkins pourrait fonctionner.

EDIT: j'ai essayé d'ajouter un utilisateur d'un trousseau et le chemin de recherche avec -s mais je n'ai pas réussi à le faire fonctionner. Donc pour l'instant, nous avons à copier nos certificats et des clés dans le trousseau du système.

MODIFIER^2: Lire et utiliser joensson' solution au lieu de la mienne, il a réussi à accéder aux keychain au lieu de simplement le trousseau du système.
- Merci. Je vais l'essayer.
- Mais comment déverrouiller le trousseau du système lorsque aucun utilisateur n'est connecté? Un sudo commande?
- Je pense que vous n'avez pas besoin d'un mot de passe pour le Système.un trousseau de clés. Mais dans le cas où je suis foiré ici, vous pouvez appeler security unlock -p password /path/to/System.keychain avec un mot de passe.
- J'ai créé un simple travail qui a exécuté "liste de sécurité-porte-clés" constaté que Jenkins utilisé $jenkins_home comme pointant/Bibliothèque/Keychains/login.trousseau quel que soit l'utilisateur le démon a couru comme ou les options, j'ai ajouté à la commande. Donc, j'ai accepté et souhaité de copier mon trousseau de $jenkins_home comme pointant/Bibliothèque/Keychains/login.trousseau et cela a fonctionné.
- Jongler avec le Système.trousseau a des effets secondaires pour toutes les applications installées. joensson a une meilleure solution ci-dessous.
- +1 Bravo pour le pointage de quelqu'un d'autre de mieux répondre à
InformationsquelleAutor Jens Kohl
67

J'ai trouvé une solution en me donnant accès à la régulière keychains pour mon Jenkins utilisateur.

En plus de spécifier le nom d'utilisateur de l'élément dans le fichier plist que l'on a accepté de répondre à l'indique, l'astuce pour obtenir l'accès à la normale de porte-clés pour l'utilisateur que vous avez spécifié dans le nom d'utilisateur est également ajouter un SessionCreate élément avec la valeur true pour le fichier plist - /Library/LaunchDaemons/org.jenkins-ci.plist :
```
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>EnvironmentVariables</key>
        <dict>
                <key>JENKINS_HOME</key>
                <string>/Users/Shared/Jenkins/Home</string>
        </dict>
        <key>GroupName</key>
        <string>wheel</string>
        <key>KeepAlive</key>
        <true/>
        <key>Label</key>
        <string>org.jenkins-ci</string>
        <key>ProgramArguments</key>
        <array>
                <string>/bin/bash</string>
                <string>/Library/Application Support/Jenkins/jenkins-runner.sh</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>UserName</key>
        <string>jenkins</string>
        <key>SessionCreate</key>
        <true />
</dict>
```
Puis redémarrez le démon et essayez d'exécuter un travail de Jenkins, qui appelle liste de sécurité-porte-clés - et vous ne verrez plus le Système.trousseau comme seule entrée, mais la connexion classique et personnalisé porte-clés vous pourriez avoir ajouté à la liste des trousseaux pour les "jenkins" de l'utilisateur.

Je suis maintenant en utilisant codesigning certificats à partir d'un personnalisé keychain sur mon serveur de build Jenkins - je n'ai pas installé les certificats ou des clés dans mon trousseau du Système.
- Excellente solution! Utilisez celui-ci, au lieu de la mienne!
- MERCI!!!! C'est exactement ce dont j'avais besoin. Dommage qu'il n'est pas documenté. J'ai créé un rapport de bug pour elle rdar://11708751
- Cela a fonctionné pour moi, Monsieur. 1+
- J'ai déjà mon login.porte-clés dans la liste quand j'execute la commande liste de sécurité-porte-clés. Le problème est que Jenkins encore sorties: sécurité: SecKeychainUnlock /Utilisateurs/Partagé/Jenkins/Bibliothèque/Keychains/login.trousseau: Le spécifié trousseau n'a pas pu être trouvé.
- Pour info, un journal des modifications de Jenkins 1.477", Modification des valeurs par défaut pour les Mac installer pour faire iOS codesigning plus facile.", semble résoudre ce problème par défaut.
- En outre, j'ai dû ajouter de l'personnalisé keychain à la liste des porte-clés avec security default-keychain -s ~/Library/Keychains/codesign.keychain autrement security find-identity ~/Library/Keychains/codesign.keychain serait montrer les identités CSSMERR_TP_NOT_TRUSTED.
- En plus de cela, j'ai dû ajouter dans un jenkins travail " sécurité de déverrouillage-porte-clés p "mot de passe" chemin/vers/un trousseau de clés. Construire de l'emploi et de supprimer la ligne dans le jenkins travail.
- A fonctionné pour moi aussi! Je vous remercie, je vous remercie.
- Serait-il possible d'utiliser cette approche pour org.apache.httpd.plist? J'ai un script php qui exécute les commandes de sécurité et suis en cours d'exécution sur ce problème précis.
- Désolé pour la réponse tardive, mais oui, je pense que vous le pouvez. Je ne l'ai pas essayé mais. Le plist format/commandes ci-dessus ne sont pas spécifiques à jenkins - comme vous pouvez le voir, il est tout simplement l'exécution d'un script bash - le reste est juste la définition de l'environnement pour le script. Le script peut contenir tout ce que vous voulez.
- Je souhaite que je pourrais dire que cela a fonctionné pour moi, parce que j'ai besoin de cette chose même. Mais après l'ajout, à la liste de porte-clés montre seulement le Système.trousseau et par défaut-trousseau de même. C'est comme si elle n'avait eu aucun effet du tout. [à l'aide de Yosemite]
- Il a travaillé pour le Bambou aussi.
InformationsquelleAutor joensson
4

Nous avons eu le même problème avec un hudson esclave qui a commencé comme un launchdaemon sur Mac OSX Lion. Il a travaillé, quand nous avons commencé l'esclave avec webstart. La seule différence que nous avons repéré est une autre variable d'environnement.
```
com.apple.java.jvmTask=WebStart
```
fonctionne, si nous avons commencé l'esclave sans webstart la variable a été
```
com.apple.java.jvmTask=CommandLine.java
```
Nous n'avons trouvé aucun moyen d'influencer la valeur de l'avance. Je vous suggère de créer un nouveau nœud dans l'Hudson, en cours d'exécution sur la même machine et a commencé par webstart. Pour le démarrage de l'esclave nous utilisons les launchdaemon configuration:
```
<?xml version"1.0" encoding="UTF-8"?>
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>jenkins</string>
    <key>UserName</key>
    <string>apple</string>
    <key>Program</key>
    <string>/usr/bin/javaws</string>
    <key>ProgramArguments</key>
    <array>
        <string>-verbose</string>
        <string>-wait</string>
        <string>http://<hudson-hostname>:8080/computer/<node-name>/slave-agent.jnlp</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
    <key>KeepAlive</key>
    <true/>
    <key>WorkingDirectory</key>
    <string>/Users/apple</string>
</dict>
</plist>
```
- Merci. Je vais essayer ça dès que j'ai le temps.
- Je me pose exactement le même problème ici, avez-vous trouvé une solution pour ça? Aimerais ici.
- Le LaunchDaemon de configuration ci-dessus est notre solution pour le problème. En commençant par l'esclave via webstart il est en mesure d'accéder au trousseau de clés. Comme une autre approche, il peut être possible de déplacer les clés et le certificat de la connexion trousseau pour le trousseau du système. Mais j'ai entendu que ce serait le travail, mais jamais essayé moi-même.
InformationsquelleAutor cemonds
2

Vous pouvez essayer mon Jenkins.app, https://github.com/stisti/jenkins-app, une autre façon d'exécuter Jenkins. Il fonctionne Jenkins dans la session de l'utilisateur, de sorte que le Trousseau d'accès n'est pas un problème.

InformationsquelleAutor sti
2

J'ai connu le même problème, et j'ai essayé de changer le nom d'utilisateur /Library/LaunchDaemons/org.jenkins-ci.plist comme décrit dans l'un des autres postes. Cependant, il n'a toujours pas de travail, et quelque obscure NullPointerException ne m'aide pas à identifier le problème. Donc, je voudrais juste partager ma solution: j'ai dû également changer le propriétaire de l'jenkins_home comme pointant répertoire (défini dans org.jenkins-ci.plist en tant que bien):
```
chown -R myBuildUser /Users/Shared/Jenkins
```
myBuildUser est l'utilisateur qui possède les certificats installés, et c'est à l'utilisateur que j'ai spécifié dans le fichier plist.

Cette solution était tout à fait évident, quand j'ai enfin réalisé - mais il m'a fallu quelques heures pour savoir à ce sujet, alors j'espère que ce post peut gagner du temps pour quelqu'un d'autre 🙂

InformationsquelleAutor JRV
1

Nous avons été confrontés exactement le même problème sur Lion ainsi que sur SnowLeopard. Nous avons dû commencer un Tomcat/Hudson avec xcodebuild emplois en tant que service. Tout en commençant à partir de la ligne de commande, le xcodebuild pourrait accéder à la connexion.trousseau pour utiliser le certificat de contenus. Mais après redémarrage de la box, la connexion.trousseau n'était pas visible à xcodebuild et, par conséquent, la signature a échoué.

Depuis que nous avons besoin de fournir à nos certificat d'entreprise par un trousseau de clés, le trousseau du système n'était pas une option. Au lieu de cela, nous avons résolu le problème par une solution de contournement simple. Nous avons supprimé le nom de l'utilisateur, de sorte que le lancement démon lance le processus en vertu de racine.
```
<plist version="1.0">
 <dict>
   <key>Label</key>
   <string>${LAUNCH_LABEL}</string>
   <key>Disabled</key>
   <false/>
   <key>RunAtLoad</key>
   <true/>
   <key>ProgramArguments</key>
   <array>
     <string>${INSTALL_DIR}/start.sh</string>
   </array>
   <key>StandardOutPath</key>
   <string>${INSTALL_DIR}/tomcat-stdout.log</string>
   <key>StandardErrorPath</key>
   <string>${INSTALL_DIR}/tomcat-stderr.log</string>
 </dict>
</plist>
```
Le lancement démon appelé un script simple (start.sh), la simulation complète de connexion et l'exécution du programme voulu
```
su -l username -c program
```
Maintenant, même après le démarrage, le xcodebuild pouvez accéder à la connexion.un trousseau de clés. Cela fonctionne sur Snow Leopard, mais, si vous fermez l'utilisateur de login spécifique.porte-clés dans une session parallèle (comme vnc connexion/déconnexion) le trousseau de clés perdu. Lion se comporte de façon différente. Semble que le Lion découple le trousseau de clés de l'utilisateur et lui attribue un identifiant de session.

InformationsquelleAutor hieroGlype
1

De garder un compartimentée trousseau de clés pour Jenkins/Hudson, j'ai déplacé les launchctl élément de
```
/Library/LaunchDaemons/org.jenkins-ci.plist
```
à
```
/Users/Shared/Jenkins/Home/Library/LaunchAgents/org.jenkins-ci.plist
```
Et qui me permet d'accéder au trousseau privé créé pour Jenkins.
- Je crois que votre réponse ne fait que dès qu'une Jenkins utilisateur se connecte?
- C'est correct. Je ne pouvais pas trouver un moyen sans ouvrir de session de l'utilisateur.
- Car alors nos solutions ne sont pas très différentes: "mon" Jenkins est lancé au démarrage, mais j'ai encore à vous connecter à l'utilisateur 😛
- Après avoir passé quelques temps à traiter avec cela, LaunchAgents et LaunchDaemons ont des capacités différentes, au-delà de simplement quand et comment ils sont démarrés et ces affecter le comportement du processus de construction (en particulier lors de la construction d'applications pour le mac).
InformationsquelleAutor igorsales
0

L'ajout d'
SessionCreate

et le réglage de beaucoup de certificats de "toujours faire confiance" dans gestionnaire de trousseau
a fonctionné pour moi avec buildbot a commencé à partir de plist... mais à un certain point, codesign a commencé à défaut
avec CSSMERR_TP_NOT_TRUSTED. J'ai récupéré par la configuration de l'iPhone de Distribution cert "utiliser les paramètres système par défaut' dans le trousseau manager. Même après un redémarrage, sans vous connecter
le buildbot esclave était alors en mesure de signer du code, ouf.

InformationsquelleAutor Dan Kegel
0

L'ajout de ce depuis que j'ai eu le même problème, mais aucune de ces solutions n'a fonctionné pour moi.

Mon problème a été causé quand, après le certificat de signature est nécessaire pour être mis à jour, après qu'il avait expiré. Après la mise à jour, xcode et en cours d'exécution xcodebuild manuellement a bien fonctionné, MAIS Jenkins n'a pas pu signer l'application.

Voici comment je l'ai corrigé:
1. Regarder dans les Trousseau et de la recherche de la clé. Pour une raison que je ne comprends pas ce qui nous a donné des résultats différents.
2. Assurez-vous que la clé privée est dans le Système de niveau (si ce n'est pas le cas, alors faites-la glisser vers l'icône Système, sur la gauche.
InformationsquelleAutor Francois Nadeau
0

Manuel de la Signature de Déplacer votre certificat de connexion au Système dans le trousseau d'accès. La connexion n'est pas accessible lors de l'archive et de générer de l'iap.

InformationsquelleAutor Shauket Sheikh

Vous devez vous connecter pour publier un commentaire.