在 github 操作中使用 openssl

Question

我想将 github 操作的工件发布到特定的更新仓库，以便我的软件可以使用它来更新自身。为了验证本地更新过程中的更新，我想签署这个工件。我选择暂时将更新本身和签名存储在单独的文件中。

我的 github 操作将采用压缩的工件，并应使用给定的 RSA4096 私钥对其进行签名，并应使用 SHA512 作为摘要。

我的 github 操作如下所示：

- name: Sign release
  run: |
    echo $PRIVATE_KEY > privatekey.pem
    openssl dgst -sha512 -sign privatekey.pem -out latest.sig latest.zip
    env:
      PRIVATE_KEY: ${{ secrets.PRIVATE_KEY }}

这个 github 操作应该从存储库的秘密中获取我的私钥，把它放在一个环境变量中，然后把它放在一个本地文件中，这样下面的 openssl 命令就可以使用这个私钥来签名。我这样做是为了阻止私钥本身被回显到日志中。

私钥值如下：（这当然不是实际的私钥，而是我创建的一个仅用于测试目的的私钥，直到这个 github 操作正常工作。这个私钥只有 1024 位，而不是上面提到的 4096 位。以后我不会再使用这个私钥了。 )

问题是执行这一步时github action的日志输出如下：

unable to load key file
6196:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: ANY PRIVATE KEY

这意味着回显到 privatekey.pem 的不是实际的私钥秘密值，而是其他东西。后续测试无法打印文件内容。没有使用 necho 或 cat 命令或类似的命令，所以我实际上不知道文件中写入了什么，这使我无法更深入地分析。

这里有人能推断出一些有用的提示或解决这个问题的方法吗？

Answer 1

您的部分问题可能是缺少引用。当您不在 shell 中引用变量时，它会在空格（空格、制表符和换行符）上拆分，因此您传递给

echo

的是几个不同的参数，它们不是用换行符分隔，而是用分隔符分隔通过回声按空格

你可能想写这个（注意

$PRIVATE_KEY

:

周围的引号

- name: Sign release
  run: |
    echo "$PRIVATE_KEY" > privatekey.pem
    openssl dgst -sha512 -sign privatekey.pem -out latest.sig latest.zip
    env:
      PRIVATE_KEY: ${{ secrets.PRIVATE_KEY }}

一般来说，除非您确定要 shell 扩展它们，否则在使用它们时将所有变量放在双引号中是一个好习惯。

当然，所有这些仅在您使用 POSIX shell 时适用，这意味着您需要在 Windows 上使用 Unix 或

bash

，因为您使用的语法是 POSIX shell 语法。

与大多数 CI 系统一样，GitHub Actions 会尝试清理其输出，以防止泄露意外打印到日志中的秘密，这就是您无法打印该值的原因。

Answer 2

呃，缩进是不是有点偏了？按照我的阅读方式，

env:

部分成为要运行的命令的一部分。所以这可能更正确：

- name: Sign release
  run: |
    echo $PRIVATE_KEY > privatekey.pem
    openssl dgst -sha512 -sign privatekey.pem -out latest.sig latest.zip
  env:
    PRIVATE_KEY: ${{ secrets.PRIVATE_KEY }}

在 github 操作中使用 openssl

问题描述投票：0回答：2

2个回答

最新问题

在 github 操作中使用 openssl

问题描述 投票：0回答：2

2个回答

最新问题

问题描述投票：0回答：2