__CAPGO_KEEP_1__

Configuración de credenciales de compilación para iOS y Android

Resumen

Capgo CLI almacena tus credenciales de compilación en tu máquina — nunca en los servidores de Capgo. Por defecto, viven en un archivo global, compartido por todos tus proyectos. Puedes pasar ~/.capgo-credentials/credentials.jsonpara mantenerlas --local por proyecto en en lugar de eso. Cuando ejecutes una compilación, las credenciales guardadas se utilizan automáticamente y se envían de manera segura a __CAPGO_KEEP_0__, luego se eliminan después de que se complete la compilación. .capgo-credentials.json instead. When you run a build, the saved credentials are used automatically and sent securely to Capgo, then deleted after the build completes.

¿Necesita Ayuda para Obtener Credenciales?

Si aún no tiene sus certificados y credenciales, consulte estos guías completas:

iOS:

• Cómo Obtener Certificados de iOS - Guía paso a paso
• Guía de Certificados de iOS - Tutorial detallado paso a paso
• Blog: Construcción Automática de iOS - Configuración completa de CI/CD

Android:

• Crear un Keystore - Guía paso a paso
• Guía de certificados de Android - Tutorial detallado paso a paso
• Blog: Construcción automática de Android - Configuración completa de CI/CD

Garantía de seguridad

Sus credenciales NO se almacenan permanentemente en los servidores de Capgo:

• ✅ Se utiliza ÚNICAMENTE durante el proceso de construcción activo
• ✅ Se elimina automáticamente después de la finalización del proceso de construcción
• ✅ Las aplicaciones se envían directamente a App Store/Play Store - no almacenamos NADA
• ✅ Se transmite de manera segura a través de HTTPS

Comandos

Administrar credenciales de manera interactiva

La forma más rápida de trabajar con sus credenciales guardadas es el administrador interactivo. Abre una IU de terminal (la misma que build init usa) donde puede navegar por lo que se almacena, ver qué está configurado por aplicación y plataforma, exportar un archivo listo para CI/CD, .env o eliminar las credenciales de una plataforma:

bunx @capgo/cli@latest build credentials manage

Opción	Descripción
--appId <appId>	Aplicación para administrar (te pide que elijas si se omite)
--platform <ios|android>	Plataforma para administrar (solicita si se omite)
--local	Utilice el archivo por proyecto .capgo-credentials.json en lugar del archivo global

Preferir comandos de una sola ejecución, scriptables? Utilice los comandos individuales a continuación.

Guardar credenciales

Almacene sus credenciales de compilación localmente para su uso automático:

bunx @capgo/cli@latest build credentials save --platform <ios|android> [options]

Actualizar credenciales

Actualizar credenciales existentes parcialmente sin re-proveer todo:

bunx @capgo/cli@latest build credentials update --platform <ios|android> [options]

La update El comando utiliza la fusión aditiva para los perfiles de configuración — los nuevos perfiles se fusionan con los existentes. Para reemplazar la totalidad del mapa de configuración en su lugar, agregue --overwrite-ios-provisioning-map.

Ejemplo — agregar un perfil de extensión a las credenciales existentes:

bunx @capgo/cli@latest build credentials update \
  --platform ios \
  --ios-provisioning-profile "com.example.app.widget=./widget_profile.mobileprovision"

El comando de actualización acepta las mismas opciones que save pero todas son opcionales — solo los campos que proporciona se actualizan.

Lista de credenciales

Ver credenciales guardadas actualmente (las contraseñas están ocultas):

bunx @capgo/cli@latest build credentials list

# List credentials for a specific app
bunx @capgo/cli@latest build credentials list --appId com.example.app

Borrar credenciales

Eliminar credenciales guardadas de tu máquina local:

# Clear all credentials
bunx @capgo/cli@latest build credentials clear

# Clear credentials for a specific app + platform
bunx @capgo/cli@latest build credentials clear --appId com.example.app --platform ios

Migrar credenciales

Convertir formato de legado de un solo perfil al nuevo formato de multi-destino:

bunx @capgo/cli@latest build credentials migrate --platform ios

El comando de migración detecta credenciales antiguas BUILD_PROVISION_PROFILE_BASE64 , las convierte a CAPGO_IOS_PROVISIONING_MAP, y elimina las claves de legado. Consulte Migración desde un perfil único para obtener más detalles.

Guardar credenciales de iOS

Nota

¿No tiene certificados de iOS todavía? Consulte el iOS Builds guide para obtener instrucciones sobre la creación de certificados y perfiles de provisión.

Ejemplo Completo

bunx @capgo/cli@latest build credentials save \
  --platform ios \
  --certificate ./cert.p12 \
  --p12-password "YourP12Password" \
  --ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
  --apple-key ./AuthKey_ABC1234567.p8 \
  --apple-key-id "ABC1234567" \
  --apple-issuer-id "00000000-0000-0000-0000-000000000000" \
  --apple-team-id "TEAM123456"

Opciones de iOS

Opción	Descripción	Requerido
--certificate <path>	Ruta al archivo de certificado .p12	Sí (versión de lanzamiento)
--p12-password <password>	Contraseña para el certificado .p12	Sí (versión de lanzamiento)
--ios-provisioning-profile <mapping>	Provisioning de perfil de configuración (bundleId=path). Repetible para aplicaciones con múltiples objetivos. Si solo hay un perfil y no hay prefijo bundleId, CLI se infiere automáticamente desde el perfil.	Sí (versión de lanzamiento)
--apple-key <path>	Ruta a App Store Connect API .p8 clave	Vea la nota¹
--apple-key-id <id>	App Store Connect API Identificador de clave	Vea la nota¹
--apple-issuer-id <id>	App Store Connect API Identificador del emisor (UUID)	Vea nota¹
--apple-team-id <id>	ID del equipo de App Store Connect	Sí
--ios-distribution <mode>	Modo de distribución: app_store (predeterminado) o ad_hoc	No
--output-upload	Habilitar un enlace de descarga temporal Capgo para el artefacto de compilación	No (predeterminado: false)
--output-retention <seconds>	¿Cuánto tiempo mantener los resultados de compilación (por ejemplo. 3600s)	No (predeterminado: 3600s)
--skip-build-number-bump	Saltar el incremento automático del número de compilación	No

¹ Requisitos de la Clave de App Store API

• app_store modo (por defecto): Todas las tres opciones de clave API son obligatorias a menos que pases --output-upload o --skip-build-number-bump (lo que evita la necesidad de una presentación API-impulsada).
• ad_hoc modo: Estas opciones no son obligatorias — no se produce ninguna presentación de App Store. Consulte Modo de Distribución Ad-Hoc para obtener más detalles.

¿Qué se almacena?

Cuando guardas credenciales de iOS, el CLI:

1. Lee los archivos de certificado y perfil de provisión
2. Los convierte a codificación base64
3. Los almacena en ~/.capgo-credentials/credentials.json (o .capgo-credentials.json con --local)
4. Almacena contraseñas e IDs como texto plano (solo archivos locales)

La estructura del archivo almacenado:

{
  "ios": {
    "BUILD_CERTIFICATE_BASE64": "...",
    "CAPGO_IOS_PROVISIONING_MAP": "{\"com.example.app\":{\"profile\":\"...\",\"name\":\"match AppStore com.example.app\"}}",
    "APPLE_KEY_CONTENT": "...",
    "P12_PASSWORD": "...",
    "APPLE_KEY_ID": "ABC1234567",
    "APPLE_ISSUER_ID": "...",
    "APP_STORE_CONNECT_TEAM_ID": "TEAM123456",
    "CAPGO_IOS_DISTRIBUTION": "app_store"
  }
}

Almacenando credenciales de Android

Nota

¿No tienes un keystore todavía? Consulte el guía de compilación de Android para obtener instrucciones sobre la creación de un keystore y la configuración de credenciales de Play Store.

Ejemplo completo

bunx @capgo/cli@latest build credentials save \
  --platform android \
  --keystore ./release.keystore \
  --keystore-alias "my-key-alias" \
  --keystore-key-password "KeyPassword123" \
  --keystore-store-password "StorePassword123" \
  --play-config ./play-store-service-account.json

Opciones de Android

Opción	Descripción	Requerido
--keystore <path>	Ruta al archivo .keystore o .jks	Sí (versión de lanzamiento)
--keystore-alias <alias>	Alias de clave en el keystore	Sí (versión de lanzamiento)
--keystore-key-password <password>	Contraseña para el alias de clave	Sí (versión de lanzamiento)
--keystore-store-password <password>	Contraseña para el keystore	Sí (lanzamiento)
--play-config <path>	Ruta del archivo JSON de servicio de Play Store	Sí (envío)

¿Qué se almacena?

Cuando guardas credenciales de Android, el CLI:

1. Lee los archivos del keystore y del servicio de JSON
2. Los convierte a codificación base64
3. Los almacena en ~/.capgo-credentials/credentials.json (o .capgo-credentials.json con --local)
4. Almacena contraseñas y alias como texto plano (solo archivos locales)

La estructura del archivo almacenado:

{
  "android": {
    "ANDROID_KEYSTORE_FILE": "...",
    "PLAY_CONFIG_JSON": "...",
    "KEYSTORE_KEY_ALIAS": "my-key-alias",
    "KEYSTORE_KEY_PASSWORD": "...",
    "KEYSTORE_STORE_PASSWORD": "..."
  }
}

Usando credenciales guardadas

Una vez que hayas guardado credenciales, se utilizan automáticamente cuando construyes:

# Credentials automatically loaded from ~/.capgo-credentials/credentials.json
bunx @capgo/cli@latest build request com.example.app --platform ios

También puedes sobreescribir credenciales guardadas utilizando variables de entorno:

# Environment variables take precedence over saved credentials
BUILD_CERTIFICATE_BASE64="..." \
P12_PASSWORD="different-password" \
bunx @capgo/cli@latest build request com.example.app --platform ios

Orden de precedencia:

1. Variables de entorno (prioridad más alta)
2. Credenciales guardadas (~/.capgo-credentials/credentials.json, o local) .capgo-credentials.json)
3. Sin credenciales (prioridad más baja)

Ver credenciales guardadas

Muestra las credenciales que has guardado:

bunx @capgo/cli@latest build credentials list

Ejemplo de salida:

📋 Saved Build Credentials:

iOS Credentials:
  ✓ Certificate (base64)
  ✓ Provisioning Map (JSON)
  ✓ Apple Key Content (base64)
  ✓ P12 Password: ********
  ✓ Apple Key ID: ABC1234567
  ✓ Apple Issuer ID: 00000000-0000-0000-0000-000000000000
  ✓ Team ID: TEAM123456

Android Credentials:
  ✓ Keystore (base64)
  ✓ Play Store Config (base64)
  ✓ Keystore Alias: my-key-alias
  ✓ Key Password: ********
  ✓ Store Password: ********

Location: ~/.capgo-credentials/credentials.json

🔒 These credentials are stored locally on your machine only.
   When building, they are sent to Capgo but NEVER stored there.
   They are auto-deleted after build completion.

Prácticas recomendadas de seguridad

Seguridad de Almacenamiento Local

1. Permisos de Archivo

   # Global credentials directory + file
   chmod 700 ~/.capgo-credentials
   chmod 600 ~/.capgo-credentials/credentials.json
   # Local (per-project) credentials, if you use --local
   chmod 600 .capgo-credentials.json

2. Nunca Compartir Credenciales

   # Ignore the per-project credentials file (used with --local)
   echo ".capgo-credentials.json" >> .gitignore

   El archivo global vive en tu directorio de inicio, fuera del repositorio.

3. Credenciales Separadas

   • Usar credenciales diferentes para desarrollo local vs CI/CD
   • Rotar credenciales con regularidad
   • No compartir credenciales entre miembros del equipo

Uso de CI/CD

Para entornos de CI/CD, prefiere variables de entorno antes que credenciales guardadas.

Exportar un archivo .env listo para usar .env (recomendado)

En lugar de codificar en base64 cada archivo de credenciales a mano (ver abajo), deja build credentials manage generar el archivo para ti:

bunx @capgo/cli@latest build credentials manage
# pick your app → choose "Export to .env"

Escribe un .env.capgo.<appId>.<platform> archivo (permisos 0600) que contiene cada credencial guardada como una variable de entorno — cada línea es un secreto para agregar a tu proveedor CI/CD. Por defecto, se combinan ambas plataformas; agrega --platform ios o --platform android para limitarlo a una.

Cuidado

El archivo exportado contiene tus secretos de firma — agrega .gitignore y nunca lo cometas.

Referencia completa de variables de entorno

El CLI lee las siguientes variables de entorno para credenciales:

Credenciales de iOS:

Variable	Descripción	Formato	Requerido
BUILD_CERTIFICATE_BASE64	Certificado P12/PKCS12 para firmar code	Base64	Sí (lanzamiento)
CAPGO_IOS_PROVISIONING_MAP	Mapa JSON de IDs de paquetes a datos de perfil de provisión	Cadena de JSON	Sí (lanzamiento)
P12_PASSWORD	Contraseña para el certificado P12	Texto plano	Opcional
APPLE_KEY_ID	Clave de App Store Connect API ID de clave	Cadena de texto (por ejemplo, “ABC1234567”)	Vea la nota¹
APPLE_ISSUER_ID	Clave de App Store Connect API ID de emisor	Cadena de UUID	Vea la nota¹
APPLE_KEY_CONTENT	App Store Connect API clave (.p8 archivo de contenido)	Base64	Ver nota¹
APP_STORE_CONNECT_TEAM_ID	ID de equipo de desarrollador de Apple	String (por ejemplo, “XXXXXXXXXX”)	Sí
CAPGO_IOS_DISTRIBUTION	Modo de distribución: app_store (por defecto) o ad_hoc	String	No

Credenciales de Android:

Variable	Descripción	Formato	Requerido
ANDROID_KEYSTORE_FILE	Archivo de keystore para firmar APK/AAB	Base64	Sí (lanzamiento)
KEYSTORE_KEY_ALIAS	Alias de clave dentro del keystore	Cadena de texto	Sí (lanzamiento)
KEYSTORE_KEY_PASSWORD	Contraseña para el alias de clave	Texto plano	Sí*
KEYSTORE_STORE_PASSWORD	Contraseña para el archivo del keystore	Texto plano	Sí*
PLAY_CONFIG_JSON	Archivo JSON de la cuenta de servicios de Google Play	Base64	Sí (envío)

*Si se proporciona solo una contraseña, se utilizará para ambos KEYSTORE_KEY_PASSWORD y KEYSTORE_STORE_PASSWORD.

GitHub Ejemplo de acciones

github/flujos de trabajo/build.yml

name: Cloud Build

on:
  push:
    branches: [main]

jobs:
  build-ios:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
      - uses: oven-sh/setup-bun@v2
      - run: bun install
      - run: bunx @capgo/cli@latest build request com.example.app --platform ios
        env:
          CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
          BUILD_CERTIFICATE_BASE64: ${{ secrets.BUILD_CERTIFICATE_BASE64 }}
          CAPGO_IOS_PROVISIONING_MAP: ${{ secrets.CAPGO_IOS_PROVISIONING_MAP }}
          P12_PASSWORD: ${{ secrets.P12_PASSWORD }}
          APPLE_KEY_ID: ${{ secrets.APPLE_KEY_ID }}
          APPLE_ISSUER_ID: ${{ secrets.APPLE_ISSUER_ID }}
          APPLE_KEY_CONTENT: ${{ secrets.APPLE_KEY_CONTENT }}
          APP_STORE_CONNECT_TEAM_ID: ${{ secrets.APP_STORE_CONNECT_TEAM_ID }}

  build-android:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
      - uses: oven-sh/setup-bun@v2
      - run: bun install
      - run: bunx @capgo/cli@latest build request com.example.app --platform android
        env:
          CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
          ANDROID_KEYSTORE_FILE: ${{ secrets.ANDROID_KEYSTORE_FILE }}
          KEYSTORE_KEY_ALIAS: ${{ secrets.KEYSTORE_KEY_ALIAS }}
          KEYSTORE_KEY_PASSWORD: ${{ secrets.KEYSTORE_KEY_PASSWORD }}
          KEYSTORE_STORE_PASSWORD: ${{ secrets.KEYSTORE_STORE_PASSWORD }}
          PLAY_CONFIG_JSON: ${{ secrets.PLAY_CONFIG_JSON }}

Preparando valores Base64

Para convertir tus archivos de credenciales a base64 para secretos de CI/CD:

# iOS Certificate (.p12)
base64 -i certificate.p12 | tr -d '\n' > certificate_base64.txt

# iOS Provisioning Profiles — use the CLI to generate CAPGO_IOS_PROVISIONING_MAP:
bunx @capgo/cli@latest build credentials save --platform ios \
  --ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
  # ... other options
# Then copy CAPGO_IOS_PROVISIONING_MAP from ~/.capgo-credentials/credentials.json to your CI secrets

# iOS App Store Connect Key (.p8)
base64 -i AuthKey_XXXXXX.p8 | tr -d '\n' > apple_key_base64.txt

# Android Keystore (.keystore or .jks)
base64 -i release.keystore | tr -d '\n' > keystore_base64.txt

# Google Play Service Account JSON
base64 -i play-store-service-account.json | tr -d '\n' > play_config_base64.txt

Consejo

El tr -d '\n' elimina saltos de línea para crear una cadena de base64 de una sola línea, lo que es más fácil de almacenar como un secreto de CI/CD.

¿Por qué las variables de entorno son más seguras?

Esta aproximación es más segura porque:

• Los secretos se gestionan por tu plataforma CI/CD
• No hay archivos de credenciales en ejecutores
• Rotación y control de acceso fácil
• Huellas de auditoría para el uso de secretos

Rotación de credenciales

Rota tus credenciales regularmente:

1. iOS: Genera nuevos certificados y API claves anualmente
2. Android: Cambia las contraseñas de keystore anualmente
3. Después de cambios en el equipoRotar cuando los miembros del equipo dejen

Actualizar credenciales guardadas:

# Re-run save command with new credentials
bunx @capgo/cli@latest build credentials save --platform ios --certificate ./new-cert.p12 ...

Solución de problemas

No se encontraron credenciales

Si el build dice que no se encontraron credenciales:

1. Compruebe si las credenciales están guardadas:

   bunx @capgo/cli@latest build credentials list

2. Guardar credenciales si faltan:

   bunx @capgo/cli@latest build credentials save --platform ios ...

3. Verificar que el archivo de credenciales existe:

   ls -la ~/.capgo-credentials/credentials.json   # global
   ls -la .capgo-credentials.json                 # local (--local)

“Denegado por permiso” al leer credenciales

Corregir permisos de archivo:

chmod 600 ~/.capgo-credentials/credentials.json   # global
chmod 600 .capgo-credentials.json                 # local

No se están utilizando las credenciales

Verifique que se ha especificado la plataforma correcta:

# Make sure --platform matches saved credentials
bunx @capgo/cli@latest build request com.example.app --platform ios  # Uses ios credentials
bunx @capgo/cli@latest build request com.example.app --platform android  # Uses android credentials

Borrar y volver a guardar las credenciales

Si las credenciales parecen estar dañadas:

# Clear all credentials
bunx @capgo/cli@latest build credentials clear

# Save again
bunx @capgo/cli@latest build credentials save --platform ios ...

Migración desde Variables de Entorno

Si actualmente está utilizando variables de entorno, puede migrar a credenciales guardadas:

1. Extrae tus variables de entorno actuales

   echo $BUILD_CERTIFICATE_BASE64  # Verify they exist

2. Volver a codificar archivos base64 a sus archivos originales (si es necesario)

   echo "$BUILD_CERTIFICATE_BASE64" | base64 -d > cert.p12
   echo "$BUILD_PROVISION_PROFILE_BASE64" | base64 -d > profile.mobileprovision

3. Guardar utilizando el CLI

   bunx @capgo/cli@latest build credentials save \
     --platform ios \
     --certificate ./cert.p12 \
     --ios-provisioning-profile ./profile.mobileprovision \
     --p12-password "$P12_PASSWORD" \
     --apple-key-id "$APPLE_KEY_ID" \
     --apple-issuer-id "$APPLE_ISSUER_ID" \
     --apple-team-id "$APP_STORE_CONNECT_TEAM_ID"

   Si tienes credenciales existentes guardadas en el formato antiguo (simple, BUILD_PROVISION_PROFILE_BASE64ejecuta:

   bunx @capgo/cli@latest build credentials migrate --platform ios

   Esta convierte la legado de perfil único a un CAPGO_IOS_PROVISIONING_MAP y elimina el viejo BUILD_PROVISION_PROFILE_BASE64 y APPLE_PROFILE_NAME llaves.

4. Prueba la compilación

   bunx @capgo/cli@latest build request com.example.app --platform ios

5. Eliminar variables de entorno (opcional)

   unset BUILD_CERTIFICATE_BASE64 BUILD_PROVISION_PROFILE_BASE64

Ubicación del archivo

Las credenciales se almacenan en un archivo JSON único:

• Global (por defecto): ~/.capgo-credentials/credentials.json — compartido en todos tus proyectos
• Local (con --local): .capgo-credentials.json en la raíz de tu proyecto — sobreescribe el archivo global para ese proyecto

El archivo se crea automáticamente la primera vez que guardas credenciales. Agrega .capgo-credentials.json a tu .gitignore Así, las credenciales por proyecto nunca se comiten.

Pasos siguientes

• Empezar - Crea tu primera compilación
• Compilaciones de iOS - Configuración de compilación específica de iOS
• Compilaciones de Android - Configuración de compilación específica de Android
• Solución de problemas - Problemas y soluciones comunes

Necesitas ayuda?

• 📚 Guía de solución de problemas
• 💬 Comunidad de Discord
• Correo electrónico: support@capgo.app

Sigue adelante desde la gestión de credenciales

Si estás utilizando Gestión de credenciales para planificar la automatización de CI/CD, conecta con Capgo CI/CD para el flujo de trabajo del producto en Capgo CI/CD Capgo Compilaciones nativas para el flujo de trabajo del producto en Capgo Compilaciones nativas, Capgo Integraciones para el flujo de trabajo del producto en Capgo Integraciones, Integración CI/CD para el detalle de implementación en Integración CI/CD, y GitHub Integración de Acciones para el detalle de implementación en GitHub Integración de Acciones.