Gestione delle credenziali

Gestisci i tuoi credenziali di costruzione iOS e Android localmente per costruire facilmente in cloud.

Panoramica

Capgo CLI conserva le tue credenziali di build sulla tua macchina — mai sui server di Capgo. Di default, vivono in un file unico ~/.capgo-credentials/credentials.jsonglobale --local condiviso da tutti i tuoi progetti. Passa per tenerle .capgo-credentials.json instead. When you run a build, the saved credentials are used automatically and sent securely to Capgo, then deleted after the build completes.

Hai Bisogno di Aiuto per Ottenere le Credenziali?

Se non hai ancora i tuoi certificati e credenziali, consulta questi guide approfondite:

iOS:

• Come Ottenere i Certificati iOS - Guida passo dopo passo
• Guida ai Certificati iOS - Tutorial dettagliato passo dopo passo
• Blog: Costruzione Automatica di iOS - Configurazione completa CI/CD

Android:

• Creazione di un Keystore - Guida passo dopo passo
• Guida alle certificazioni Android - Tutorial dettagliato passo dopo passo
• Blog: Costruzioni Android automatiche - Configurazione completa CI/CD

Garanzia di sicurezza

I tuoi credenziali NON sono mai memorizzate permanentemente sui server Capgo:

• ✅ Utilizzati SOLO durante il processo di costruzione attivo
• ✅ Eliminati automaticamente dopo la conclusione del processo di costruzione
• ✅ Massimo periodo di conservazione: 24 ore (anche se il processo di costruzione fallisce)
• ✅ Le app vengono inviate direttamente su App Store/Play Store - non memorizziamo NULLA
• ✅ Trasmesso in modo sicuro su HTTPS

Comandi

Gestisci Credenziali Interattivamente

Il modo più veloce per lavorare con le tue credenziali salvate è il gestore interattivo. Si apre una finestra del terminale (lo stesso utilizzato per il build init uses .env gestore dei comandi) dove puoi esplorare cosa è memorizzato, vedere cosa è configurato per app e piattaforma, esportare un file pronto per il

bunx @capgo/cli@latest build credentials manage

Copia nel portapenna	Opzione
--appId <appId>	App per la gestione (ti chiede di scegliere se omesso)
--platform <ios|android>	Piattaforma da gestire (ti chiede di scegliere se omesso)
--local	Usa il file per progetto .capgo-credentials.json invece del file globale

Preferisci comandi scriptabili, uno-shot? Usa i comandi individuali qui sotto.

Salva Credenziali

Ricorda i tuoi credenziali di costruzione localmente per l'uso automatico:

bunx @capgo/cli@latest build credentials save --platform <ios|android> [options]

Aggiorna Credenziali

Aggiorna solo le credenziali esistenti senza doverle fornire nuovamente tutte:

bunx @capgo/cli@latest build credentials update --platform <ios|android> [options]

Il update il comando utilizza l'aggiuntivo merge per i profili di provisioning — i nuovi profili vengono uniti a quelli esistenti. Per sostituire l'intera mappa di provisioning al suo posto, aggiungi --overwrite-ios-provisioning-map.

Esempio — aggiungi un profilo di estensione alle credenziali esistenti:

bunx @capgo/cli@latest build credentials update \
  --platform ios \
  --ios-provisioning-profile "com.example.app.widget=./widget_profile.mobileprovision"

Il comando di aggiornamento accetta le stesse opzioni di save ma tutte sono facoltative — solo i campi che fornisci vengono aggiornati.

Elenco Credenziali

Visualizza le credenziali salvate attualmente (le password sono mascherate):

bunx @capgo/cli@latest build credentials list

# List credentials for a specific app
bunx @capgo/cli@latest build credentials list --appId com.example.app

Cancella Credenziali

Rimuovi le credenziali salvate dal tuo computer locale:

# Clear all credentials
bunx @capgo/cli@latest build credentials clear

# Clear credentials for a specific app + platform
bunx @capgo/cli@latest build credentials clear --appId com.example.app --platform ios

Migra Credenziali

Converti il formato di profilo singolo di vecchia generazione nel nuovo formato multi-target:

bunx @capgo/cli@latest build credentials migrate --platform ios

Il comando di migrazione rileva le credenziali vecchie BUILD_PROVISION_PROFILE_BASE64 le converte in CAPGO_IOS_PROVISIONING_MAPe rimuove le chiavi di vecchia generazione. Vedi Migrazione da Profilo Singolo per i dettagli.

Salvataggio delle credenziali iOS

Nota

Non hai ancora i certificati iOS? Vedi il guida per la creazione di build iOS per istruzioni su come creare certificati e profili di provisioning.

Esempio Completo

bunx @capgo/cli@latest build credentials save \
  --platform ios \
  --certificate ./cert.p12 \
  --p12-password "YourP12Password" \
  --ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
  --apple-key ./AuthKey_ABC1234567.p8 \
  --apple-key-id "ABC1234567" \
  --apple-issuer-id "00000000-0000-0000-0000-000000000000" \
  --apple-team-id "TEAM123456"

Opzioni iOS

Opzione	Descrizione	Richiesto
--certificate <path>	Percorso del file di certificato .p12	Sì (rilascio)
--p12-password <password>	Password per il file di certificato .p12	Sì (rilascio)
--ios-provisioning-profile <mapping>	Mappatura del profilo di provisioning (bundleId=path). Ripetibile per applicazioni multi-target. Se presente solo un profilo e nessun prefisso bundleId, CLI si auto-estende dal profilo.	Sì (rilascio)
--apple-key <path>	Percorso della chiave API .p8 di App Store Connect	Vedi nota¹
--apple-key-id <id>	ID chiave di App Store Connect API	Vedi nota¹
--apple-issuer-id <id>	App Store Connect API ID emittente (UUID)	Vedi nota¹
--apple-team-id <id>	App Store Connect ID team	Sì
--ios-distribution <mode>	Modalità di distribuzione: app_store (di default) o ad_hoc	No
--output-upload	Abilita un collegamento di download a tempo limitato per l'artefatto di costruzione Capgo	No (di default: false)
--output-retention <seconds>	Quanto tempo mantenere gli output di costruzione (ad esempio 3600s)	No (di default: 3600s)
--skip-build-number-bump	Saltare l'incremento automatico del numero di costruzione	No

¹ App Store Connect API Requisiti della Chiave

• app_store modalità (predefinito): Tutte e tre le API opzioni di chiave sono richieste a meno che non si passi --output-upload o --skip-build-number-bump (che evitano la necessità di una sottoscrizione API-drivata).
• ad_hoc modalità: Queste opzioni non sono richieste — non si effettua alcuna sottoscrizione all'App Store. Vedi Modalità di distribuzione Ad-Hoc per i dettagli.

Cosa si conserva

Quando si salvano le credenziali iOS, il CLI:

1. Legge i file del certificato e del profilo di provisioning
2. Li converte in codifica base64
3. Li salva in ~/.capgo-credentials/credentials.json (o .capgo-credentials.json con --local)
4. Conserva le password e gli ID in testo puro (solo file locali)

La struttura del file archiviato:

{
  "ios": {
    "BUILD_CERTIFICATE_BASE64": "...",
    "CAPGO_IOS_PROVISIONING_MAP": "{\"com.example.app\":{\"profile\":\"...\",\"name\":\"match AppStore com.example.app\"}}",
    "APPLE_KEY_CONTENT": "...",
    "P12_PASSWORD": "...",
    "APPLE_KEY_ID": "ABC1234567",
    "APPLE_ISSUER_ID": "...",
    "APP_STORE_CONNECT_TEAM_ID": "TEAM123456",
    "CAPGO_IOS_DISTRIBUTION": "app_store"
  }
}

Salvataggio delle credenziali Android

Nota

Non hai ancora un keystore? Vedi il guida per la creazione di un keystore e la configurazione delle credenziali di Store Play Esempio completo

Sezione intitolata “Esempio completo”

bunx @capgo/cli@latest build credentials save \
  --platform android \
  --keystore ./release.keystore \
  --keystore-alias "my-key-alias" \
  --keystore-key-password "KeyPassword123" \
  --keystore-store-password "StorePassword123" \
  --play-config ./play-store-service-account.json

Opzioni per Android

Opzione	Descrizione	Obbligatorio
--keystore <path>	Percorso per il file .keystore o .jks	Sì (rilascio)
--keystore-alias <alias>	Alias della chiave nel keystore	Sì (rilascio)
--keystore-key-password <password>	Password per l'alias della chiave	Sì (rilascio)
--keystore-store-password <password>	Password per il keystore	Sì (rilascio)
--play-config <path>	Percorso del file JSON del servizio account Play Store	Sì (invio)

Cosa si conserva

Quando si salvano le credenziali Android, il CLI:

1. Legge i file del keystore e del servizio account JSON
2. Li converte in codifica base64
3. Li salva in ~/.capgo-credentials/credentials.json (o) .capgo-credentials.json con --local)
4. Memorizza le password e gli alias come testo normale (solo file locali)

La struttura del file memorizzato:

{
  "android": {
    "ANDROID_KEYSTORE_FILE": "...",
    "PLAY_CONFIG_JSON": "...",
    "KEYSTORE_KEY_ALIAS": "my-key-alias",
    "KEYSTORE_KEY_PASSWORD": "...",
    "KEYSTORE_STORE_PASSWORD": "..."
  }
}

Utilizzo dei Credenziali Salvate

Una volta salvate le credenziali, vengono utilizzate automaticamente quando si costruisce:

# Credentials automatically loaded from ~/.capgo-credentials/credentials.json
bunx @capgo/cli@latest build request com.example.app --platform ios

Puoi anche sovrascrivere le credenziali salvate utilizzando le variabili di ambiente:

# Environment variables take precedence over saved credentials
BUILD_CERTIFICATE_BASE64="..." \
P12_PASSWORD="different-password" \
bunx @capgo/cli@latest build request com.example.app --platform ios

Ordine di precedenza:

1. Variabili di ambiente (priorità più alta)
2. Credenziali salvate (~/.capgo-credentials/credentials.json, o locale) .capgo-credentials.json)
3. Nessuna credenziale (priorità più bassa)

Visualizzazione Credenziali Salvate

Elenco delle credenziali che hai salvato:

bunx @capgo/cli@latest build credentials list

Esempio di output:

📋 Saved Build Credentials:

iOS Credentials:
  ✓ Certificate (base64)
  ✓ Provisioning Map (JSON)
  ✓ Apple Key Content (base64)
  ✓ P12 Password: ********
  ✓ Apple Key ID: ABC1234567
  ✓ Apple Issuer ID: 00000000-0000-0000-0000-000000000000
  ✓ Team ID: TEAM123456

Android Credentials:
  ✓ Keystore (base64)
  ✓ Play Store Config (base64)
  ✓ Keystore Alias: my-key-alias
  ✓ Key Password: ********
  ✓ Store Password: ********

Location: ~/.capgo-credentials/credentials.json

🔒 These credentials are stored locally on your machine only.
   When building, they are sent to Capgo but NEVER stored there.
   They are auto-deleted after build completion.

Pratiche di Sicurezza

Sicurezza del Storage Locale

1. Autorizzazioni dei File

   # Global credentials directory + file
   chmod 700 ~/.capgo-credentials
   chmod 600 ~/.capgo-credentials/credentials.json
   # Local (per-project) credentials, if you use --local
   chmod 600 .capgo-credentials.json

2. Non Commettere Mai le Credenziali

   # Ignore the per-project credentials file (used with --local)
   echo ".capgo-credentials.json" >> .gitignore

   Il file globale vive nella directory casella utente, fuori dal repository.

3. Separare le Credenziali

   • Usa credenziali diverse per lo sviluppo locale vs CI/CD
   • Rimuovi regolarmente le credenziali
   • Non condividere le credenziali tra membri del team

Utilizzo di CI/CD

Per ambienti CI/CD, preferisci le variabili di ambiente alle credenziali salvate.

Esporta un file .env pronto all'uso .env Sezione intitolata “Esporta un file .env pronto all'uso (consigliato)”

Invece di codificare in base64 ogni file di credenziali a mano (vedi Sotto, lascia build credentials manage genera il file per te:

bunx @capgo/cli@latest build credentials manage
# pick your app → choose "Export to .env"

Scrive un .env.capgo.<appId>.<platform> file (permessi 0600) contenente ogni credenziale salvata come variabile di ambiente — ogni riga è un segreto da aggiungere al tuo provider CI/CD. Le due piattaforme sono combinate per impostazione predefinita; aggiungi --platform ios o --platform android per limitarla a una.

Attento

The file esportato contiene i tuoi segreti di firma — aggiungilo a .gitignore e non lo commetti mai.

Riferimento completo alle variabili di ambiente

Il CLI legge le seguenti variabili di ambiente per le credenziali:

Credenziali iOS:

Variabile	Descrizione	Formato	Richiesto
BUILD_CERTIFICATE_BASE64	Certificato P12/PKCS12 per la firma di code	Base64	Sì (rilascio)
CAPGO_IOS_PROVISIONING_MAP	JSON mappa degli ID pacchetti a dati di profilo di provisioning	Stringa JSON	Sì (rilascio)
P12_PASSWORD	Password per il certificato P12	Testo normale	Facoltativo
APPLE_KEY_ID	Chiave ID di App Store Connect API	Stringa (ad esempio, "ABC1234567")	Vedi nota¹
APPLE_ISSUER_ID	ID emittente di App Store Connect API	Stringa UUID	Vedi nota¹
APPLE_KEY_CONTENT	Chiave App Store Connect API (contenuto file .p8)	Base64	Vedi nota¹
APP_STORE_CONNECT_TEAM_ID	ID del team sviluppatore Apple	Stringa (ad esempio, “XXXXXXXXXX”)	Sì
CAPGO_IOS_DISTRIBUTION	Modalità di distribuzione: app_store o ad_hoc	Stringa	No

Credenziali Android:

Variabile	Descrizione	Formato	Obbligatorio
ANDROID_KEYSTORE_FILE	File del keystore per la firma APK/AAB	Base64	Sì (rilascio)
KEYSTORE_KEY_ALIAS	Alias della chiave all'interno del keystore	Stringa	Sì (rilascio)
KEYSTORE_KEY_PASSWORD	Password per l'alias della chiave	Testo puro	Sì*
KEYSTORE_STORE_PASSWORD	Password per il file del keystore	Testo normale	Sì*
PLAY_CONFIG_JSON	JSON del servizio Google Play	Base64	Sì (invio)

*Se viene fornito solo un password, verrà utilizzato per entrambi KEYSTORE_KEY_PASSWORD e KEYSTORE_STORE_PASSWORD.

GitHub Esempi di azioni di Capgo

.github/workflows/build.yml

name: Cloud Build

on:
  push:
    branches: [main]

jobs:
  build-ios:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
      - uses: oven-sh/setup-bun@v2
      - run: bun install
      - run: bunx @capgo/cli@latest build request com.example.app --platform ios
        env:
          CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
          BUILD_CERTIFICATE_BASE64: ${{ secrets.BUILD_CERTIFICATE_BASE64 }}
          CAPGO_IOS_PROVISIONING_MAP: ${{ secrets.CAPGO_IOS_PROVISIONING_MAP }}
          P12_PASSWORD: ${{ secrets.P12_PASSWORD }}
          APPLE_KEY_ID: ${{ secrets.APPLE_KEY_ID }}
          APPLE_ISSUER_ID: ${{ secrets.APPLE_ISSUER_ID }}
          APPLE_KEY_CONTENT: ${{ secrets.APPLE_KEY_CONTENT }}
          APP_STORE_CONNECT_TEAM_ID: ${{ secrets.APP_STORE_CONNECT_TEAM_ID }}

  build-android:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
      - uses: oven-sh/setup-bun@v2
      - run: bun install
      - run: bunx @capgo/cli@latest build request com.example.app --platform android
        env:
          CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
          ANDROID_KEYSTORE_FILE: ${{ secrets.ANDROID_KEYSTORE_FILE }}
          KEYSTORE_KEY_ALIAS: ${{ secrets.KEYSTORE_KEY_ALIAS }}
          KEYSTORE_KEY_PASSWORD: ${{ secrets.KEYSTORE_KEY_PASSWORD }}
          KEYSTORE_STORE_PASSWORD: ${{ secrets.KEYSTORE_STORE_PASSWORD }}
          PLAY_CONFIG_JSON: ${{ secrets.PLAY_CONFIG_JSON }}

Preparazione dei valori Base64

Per convertire i file dei tuoi credenziali in base64 per i segreti CI/CD:

# iOS Certificate (.p12)
base64 -i certificate.p12 | tr -d '\n' > certificate_base64.txt

# iOS Provisioning Profiles — use the CLI to generate CAPGO_IOS_PROVISIONING_MAP:
bunx @capgo/cli@latest build credentials save --platform ios \
  --ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
  # ... other options
# Then copy CAPGO_IOS_PROVISIONING_MAP from ~/.capgo-credentials/credentials.json to your CI secrets

# iOS App Store Connect Key (.p8)
base64 -i AuthKey_XXXXXX.p8 | tr -d '\n' > apple_key_base64.txt

# Android Keystore (.keystore or .jks)
base64 -i release.keystore | tr -d '\n' > keystore_base64.txt

# Google Play Service Account JSON
base64 -i play-store-service-account.json | tr -d '\n' > play_config_base64.txt

Suggerimento

Il tr -d '\n' rimuove le righe da capo per creare una stringa di base64 a riga singola, che è più facile da memorizzare come segreto CI/CD.

Perché le variabili di ambiente sono più sicure

Questa approccio è più sicuro perché:

• I segreti sono gestiti dalla tua piattaforma CI/CD
• Nessun file di credenziali sui runner
• Rotazione facile e controllo degli accessi
• Tracce di audit per l'uso dei segreti

Rotazione delle credenziali

Rotazione regolare delle tue credenziali:

1. iOS: Genera nuovi certificati e API chiavi ogni anno
2. Android: Cambia le password del keystore annualmente
3. Dopo le modifiche del team: Ruota quando i membri del team lasciano

Aggiorna le credenziali salvate:

# Re-run save command with new credentials
bunx @capgo/cli@latest build credentials save --platform ios --certificate ./new-cert.p12 ...

Risoluzione dei problemi

”No credentials found”

Se il build dice che non sono state trovate credenziali:

1. Controlla se le credenziali sono salvate:

   bunx @capgo/cli@latest build credentials list

2. Salva le credenziali se mancanti:

   bunx @capgo/cli@latest build credentials save --platform ios ...

3. Verifica l'esistenza del file delle credenziali:

   ls -la ~/.capgo-credentials/credentials.json   # global
   ls -la .capgo-credentials.json                 # local (--local)

“Rifiutato il permesso” quando si legge il file delle credenziali

Correggi i permessi del file:

chmod 600 ~/.capgo-credentials/credentials.json   # global
chmod 600 .capgo-credentials.json                 # local

Credenziali non utilizzate

Verifica che la piattaforma corretta sia specificata:

# Make sure --platform matches saved credentials
bunx @capgo/cli@latest build request com.example.app --platform ios  # Uses ios credentials
bunx @capgo/cli@latest build request com.example.app --platform android  # Uses android credentials

Cancella e salva nuovamente le credenziali

Se le credenziali sembrano corrotte:

# Clear all credentials
bunx @capgo/cli@latest build credentials clear

# Save again
bunx @capgo/cli@latest build credentials save --platform ios ...

Migrazione da Variabili di Ambiente

Se attualmente stai utilizzando variabili di ambiente, puoi migrare a credenziali salvate:

1. Estrai le tue attuali variabili di ambiente

   echo $BUILD_CERTIFICATE_BASE64  # Verify they exist

2. Decodifica i file base64 di ritorno ai file originali (se necessario)

   echo "$BUILD_CERTIFICATE_BASE64" | base64 -d > cert.p12
   echo "$BUILD_PROVISION_PROFILE_BASE64" | base64 -d > profile.mobileprovision

3. Salva utilizzando il CLI

   bunx @capgo/cli@latest build credentials save \
     --platform ios \
     --certificate ./cert.p12 \
     --ios-provisioning-profile ./profile.mobileprovision \
     --p12-password "$P12_PASSWORD" \
     --apple-key-id "$APPLE_KEY_ID" \
     --apple-issuer-id "$APPLE_ISSUER_ID" \
     --apple-team-id "$APP_STORE_CONNECT_TEAM_ID"

   Se hai credenziali esistenti salvate nel formato vecchio (singolo) BUILD_PROVISION_PROFILE_BASE64), esegui:

   bunx @capgo/cli@latest build credentials migrate --platform ios

   Questo converte il legato profilo singolo in un CAPGO_IOS_PROVISIONING_MAP e rimuove gli BUILD_PROVISION_PROFILE_BASE64 e APPLE_PROFILE_NAME chiavi.

4. Verifica la costruzione

   bunx @capgo/cli@latest build request com.example.app --platform ios

5. Elimina le variabili di ambiente (facoltativo)

   unset BUILD_CERTIFICATE_BASE64 BUILD_PROVISION_PROFILE_BASE64

Posizione del file

I credenziali sono memorizzate in un file JSON unico:

• Globale (predefinito): ~/.capgo-credentials/credentials.json — condiviso con tutti i tuoi progetti
• Locale (con --local): .capgo-credentials.json nel root del tuo progetto — sovrascrive il file globale per quel progetto

Il file viene creato automaticamente la prima volta che si salvano le credenziali. Aggiungi .capgo-credentials.json alla tua .gitignore così le credenziali per progetto sono mai committe.

Passaggi successivi

• Avvio - Crea la tua prima build
• Build iOS - Configurazione di build specifica per iOS
• Build Android - Configurazione di build specifica per Android
• Risoluzione dei problemi - Problemi comuni e soluzioni

Hai bisogno di aiuto?

• 📚 Guida di risoluzione dei problemi
• 💬 Comunità Discord
• 📧 Email: support@capgo.app

Continua da Gestione delle credenziali

Se stai utilizzando Gestione delle credenziali per pianificare l'automazione CI/CD, connettilo con Capgo CI/CD per il flusso di lavoro del prodotto in Capgo CI/CD, Capgo Costruzioni native per il flusso di lavoro del prodotto in Capgo Costruzioni native, Capgo Integrazioni per il flusso di lavoro del prodotto in Capgo Integrazioni, Integrazione CI/CD per la dettagliata implementazione in Integrazione CI/CD, e GitHub Integrazione azioni per la dettagliata implementazione in GitHub Integrazione azioni.