コンテンツにスキップ

資格情報の管理

iOSとAndroidのビルド資格情報を、便利なクラウドビルドのためにローカルに管理してください。

Capgo CLIは、ビルド資格情報を保存します コンピューター上 — Capgoのサーバー上にはありません。 デフォルトでは、すべてのプロジェクトで共有される1つの グローバル ~/.capgo-credentials/credentials.jsonファイルに保存されます。 --local を指定して、プロジェクトごとに保存する パス を指定して .capgo-credentials.json 代わりに、ビルドを実行すると、保存されたクレデンシャルは自動的に使用され、安全にCapgoに送信され、ビルドが完了すると削除されます。

クレデンシャルをインタラクティブに管理

「クレデンシャルをインタラクティブに管理」セクション

保存されたクレデンシャルと効果的に取り組む最も速い方法は、インタラクティブ マネージャです。TUI (同じもの)を開き、保存されたものを参照できます。アプリとプラットフォームごとに設定されているものを確認し、CI/CD用のファイルをエクスポートするか、プラットフォームのクレデンシャルを削除することができます。 build init ターミナル画面 .env クリップボードにコピー

オプション
bunx @capgo/cli@latest build credentials manage
__CAPGO_KEEP_0____CAPGO_KEEP_0__
--appId <appId>App を管理するアプリ (省略した場合は選択肢を提示します)
--platform <ios|android>プラットフォームを管理する (省略した場合は選択肢を提示します)
--localプロジェクトごとに使用する .capgo-credentials.json グローバルファイルではなく

1 回限りのスクリプトコマンドを使用したい場合は、下記の個別コマンドを使用してください。

自動的に使用できるようにローカルにビルドクレデンシャルを保存する

ターミナル画面

クリップボードにコピー

クレデンシャルを更新
bunx @capgo/cli@latest build credentials save --platform <ios|android> [options]

セクション「クレデンシャルを更新」

ローカルにクレデンシャルを保存して自動的に使用する

__CAPGO_KEEP_0__を部分的に更新して、すべてを再提供する必要がなくなる:

__CAPGO_KEEP_0__画面
bunx @capgo/cli@latest build credentials update --platform <ios|android> [options]

__CAPGO_KEEP_1__ update コマンドは 追加的なマージ プロビジョニング プロファイルの場合 — 新しいプロファイルは既存のプロファイルとマージされます。すべてのプロビジョニング マップを置き換える場合は、 --overwrite-ios-provisioning-map.

例 — 既存の資格情報に拡張プロファイルを追加する:

__CAPGO_KEEP_0__画面
bunx @capgo/cli@latest build credentials update \
--platform ios \
--ios-provisioning-profile "com.example.app.widget=./widget_profile.mobileprovision"

更新コマンドは save のオプションを受け付けるが、すべては省略可能です — 提供するフィールドのみが更新されます。

View currently saved credentials (passwords are masked):

Terminal window
bunx @capgo/cli@latest build credentials list
# List credentials for a specific app
bunx @capgo/cli@latest build credentials list --appId com.example.app

Remove saved credentials from your local machine:

Terminal window
# Clear all credentials
bunx @capgo/cli@latest build credentials clear
# Clear credentials for a specific app + platform
bunx @capgo/cli@latest build credentials clear --appId com.example.app --platform ios

旧のシングルプロファイル形式を、新しいマルチターゲット形式に変換します:

ターミナルウィンドウ
bunx @capgo/cli@latest build credentials migrate --platform ios

マイグレーション コマンドは、古い BUILD_PROVISION_PROFILE_BASE64 資格情報を検出、古い資格情報を新しい形式に変換、そして、古いキーを削除します。詳細は「 CAPGO_IOS_PROVISIONING_MAPシングル プロファイルからマイグレーション 」を参照してください。 iOS の資格情報を保存

「iOS の資格情報を保存」

注意

完全な例

完全な例
ターミナル画面
bunx @capgo/cli@latest build credentials save \
--platform ios \
--certificate ./cert.p12 \
--p12-password "YourP12Password" \
--ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
--apple-key ./AuthKey_ABC1234567.p8 \
--apple-key-id "ABC1234567" \
--apple-issuer-id "00000000-0000-0000-0000-000000000000" \
--apple-team-id "TEAM123456"
オプション説明必要
--certificate <path>__CAPGO_KEEP_0__証明書ファイルのパスはい (リリース)
--p12-password <password>__CAPGO_KEEP_0__証明書のパスワードはい (リリース)
--ios-provisioning-profile <mapping>__CAPGO_KEEP_0__プロビジョニングプロファイルのマッピング (、). 複数のターゲットアプリに対して繰り返し可能です。 1 つのプロファイルしかない場合、Bundle ID のプレフィックスがなければ、__CAPGO_KEEP_0__ はプロファイルから自動で推測されます。bundleId=path). Repeatable for multi-target apps. If only one profile and no bundleId prefix, CLI auto-infers from the profile.App Store Connect __CAPGO_KEEP_0__ .p8 キーのパス
--apple-key <path>Path to App Store Connect API .p8 keyApp Store Connect __CAPGO_KEEP_0__ キー ID
--apple-key-id <id>App Store Connect API Key ID__CAPGO_KEEP_0__
--apple-issuer-id <id>App Store Connect API Issuer ID (UUID)注記¹を参照
--apple-team-id <id>App Store Connect Team IDYes
--apple-id <email>App Store Connectのアプリ固有のパスワードアップロード用のApple IDメールアドレス(APIキーの代替)注記²を参照
--apple-app-specific-password <password>アプリ固有のパスワード(xxxx-xxxx-xxxx-xxxx)注記²を参照
--apple-app-id <id>数字のApp Store ConnectアプリID(例えば 1234567890)注記²を参照
--ios-distribution <mode>配布モード: app_store (default) または ad_hocいいえ
--output-uploadCapgo ビルドアーティファクトの時間制限付きダウンロードリンクを有効にしますいいえ (デフォルト: false)
--output-retention <seconds>__CAPGO_KEEP_0__ ビルド出力の保持期間 (例: 3600s)いいえ (デフォルト: 3600s)
--skip-build-number-bump自動ビルド番号のインクリメントをスキップ¹ App Store Connect __CAPGO_KEEP_0__ キー要件

iOS認証情報を保存すると、CLI:

  1. 証明書とプロビジョニングプロファイルファイルを読み取ります
  2. base64エンコードに変換します
  3. 保存先 ~/.capgo-credentials/credentials.json (または .capgo-credentials.json __CAPGO_KEEP_0__ --local)
  4. パスワードとIDを平文(ローカルファイルのみ)で保存します。

__CAPGO_KEEP_1__

{
"ios": {
"BUILD_CERTIFICATE_BASE64": "...",
"CAPGO_IOS_PROVISIONING_MAP": "{\"com.example.app\":{\"profile\":\"...\",\"name\":\"match AppStore com.example.app\"}}",
"APPLE_KEY_CONTENT": "...",
"P12_PASSWORD": "...",
"APPLE_KEY_ID": "ABC1234567",
"APPLE_ISSUER_ID": "...",
"APP_STORE_CONNECT_TEAM_ID": "TEAM123456",
"CAPGO_IOS_DISTRIBUTION": "app_store"
}
}

__CAPGO_KEEP_3__

__CAPGO_KEEP_4__

完全な例

「完全な例」
ターミナル画面
bunx @capgo/cli@latest build credentials save \
--platform android \
--keystore ./release.keystore \
--keystore-alias "my-key-alias" \
--keystore-key-password "KeyPassword123" \
--keystore-store-password "StorePassword123" \
--play-config ./play-store-service-account.json

Android オプション

「Android オプション」
オプション説明必須
--keystore <path>.keystore または .jks ファイルへのパスはい (リリース)
--keystore-alias <alias>キーアリセンスのキーアリセンスYes (release)
--keystore-key-password <password>キー・アリセイスのパスワードYes (release)
--keystore-store-password <password>キーストアのパスワードYes (release)
--play-config <path>Play Store サービス アカウント JSON のパスYes (submission)

Android の資格情報を保存すると、CLI:

  1. キーストアとサービス アカウント JSON ファイルを読み取ります
  2. base64 エンコードに変換します
  3. 保存したデータを ~/.capgo-credentials/credentials.json (または .capgo-credentials.json--local)
  4. パスワードとエイリアスを平文(ローカルファイルのみ)として保存します。

保存されたファイル構造:

{
"android": {
"ANDROID_KEYSTORE_FILE": "...",
"PLAY_CONFIG_JSON": "...",
"KEYSTORE_KEY_ALIAS": "my-key-alias",
"KEYSTORE_KEY_PASSWORD": "...",
"KEYSTORE_STORE_PASSWORD": "..."
}
}

保存した資格情報は、ビルド時に自動的に使用されます:

ターミナル画面
# Credentials automatically loaded from ~/.capgo-credentials/credentials.json
bunx @capgo/cli@latest build request com.example.app --platform ios

環境変数を使用して保存済みの資格情報を上書きすることもできます:

ターミナル画面
# Environment variables take precedence over saved credentials
BUILD_CERTIFICATE_BASE64="..." \
P12_PASSWORD="different-password" \
bunx @capgo/cli@latest build request com.example.app --platform ios

優先順位:

  1. 環境変数(最も優先度の高い)
  2. 保存済みの資格情報(~/.capgo-credentials/credentials.json、またはローカル .capgo-credentials.json)
  3. 資格情報なし(最も優先度の低い)

保存済みの資格情報の一覧を表示:

ターミナル画面
bunx @capgo/cli@latest build credentials list

例出力:

📋 Saved Build Credentials:
iOS Credentials:
✓ Certificate (base64)
✓ Provisioning Map (JSON)
✓ Apple Key Content (base64)
✓ P12 Password: ********
✓ Apple Key ID: ABC1234567
✓ Apple Issuer ID: 00000000-0000-0000-0000-000000000000
✓ Team ID: TEAM123456
Android Credentials:
✓ Keystore (base64)
✓ Play Store Config (base64)
✓ Keystore Alias: my-key-alias
✓ Key Password: ********
✓ Store Password: ********
Location: ~/.capgo-credentials/credentials.json
🔒 These credentials are stored locally on your machine only.
When building, they are sent to Capgo but NEVER stored there.
They are auto-deleted after build completion.

セキュリティのベストプラクティス

セクション「セキュリティのベストプラクティス」

ローカル ストレージ セキュリティ

セクション「ローカル ストレージ セキュリティ」
  1. ファイル パーミッション

    ターミナル ウィンドウ
    # Global credentials directory + file
    chmod 700 ~/.capgo-credentials
    chmod 600 ~/.capgo-credentials/credentials.json
    # Local (per-project) credentials, if you use --local
    chmod 600 .capgo-credentials.json
  2. クレデンシャルをコミットしない

    ターミナル ウィンドウ
    # Ignore the per-project credentials file (used with --local)
    echo ".capgo-credentials.json" >> .gitignore

    グローバルファイルは、ホームディレクトリの外側のリポジトリ内にあります。

  3. セキュリティ

    • ローカル開発とCI/CD用の異なるクレデンシャルを使用する
    • クレデンシャルを定期的にローテートする
    • チームメンバー間でクレデンシャルを共有しない

CI/CDの使用

CI/CDの使用

CI/CD環境の場合、 環境変数を保存されたクレデンシャルよりも優先する 環境変数をエクスポートする(推奨)

各資格情報ファイルを手動で base64 エンコードするのではなく (下記を参照)、 __CAPGO_KEEP_0__ファイルを自動生成してください: build credentials manage ターミナル画面

コピーする
bunx @capgo/cli@latest build credentials manage
# pick your app → choose "Export to .env"

) を書き出します。両方のプラットフォームがデフォルトで組み込まれているため、 .env.capgo.<appId>.<platform> または 0600を使用して、1 つのプラットフォームにスコープを絞り込むことができます。 --platform ios Export a ready-to-use .env (recommended) --platform android Instead of base64-encoding each credential file by hand (see below), let generate the file for you:

環境変数の完全なリファレンス

環境変数の完全なリファレンスのセクション

CLIは、以下の環境変数を読み取ります。

iOSのクレデンシャル:

変数説明フォーマット必須
BUILD_CERTIFICATE_BASE64P12/PKCS12証明書のcode署名用Base64はい(リリース)
CAPGO_IOS_PROVISIONING_MAPアプリケーションIDとプロビジョニングプロファイルデータのJSONマップJSON文字列はい(リリース)
P12_PASSWORDP12証明書のパスワード平文任意
APPLE_KEY_IDApp Store Connect API Key ID文字列(例:「ABC1234567」)注記¹を参照
APPLE_ISSUER_IDApp Store Connect API 発行者 IDUUID文字列注記¹を参照
APPLE_KEY_CONTENTApp Store Connect API キー (.p8ファイルの内容)Base64注記¹を参照
APP_STORE_CONNECT_TEAM_IDApple Developer チーム ID文字列(例:「XXXXXXXXXX」)はい
CAPGO_IOS_DISTRIBUTION配布モード: app_store (デフォルト) または ad_hoc文字列No

Androidの資格情報:

変数説明フォーマット必要
ANDROID_KEYSTORE_FILEAPK/AABの署名用キーストアファイルBase64はい(リリース)
KEYSTORE_KEY_ALIASキーストア内のキーアリセイ文字列はい(リリース)
KEYSTORE_KEY_PASSWORD__CAPGO_KEEP_0__Plain textYes*
KEYSTORE_STORE_PASSWORD__CAPGO_KEEP_0__Plain textYes*
PLAY_CONFIG_JSONGoogle Play service account JSONBase64Yes (

* KEYSTORE_KEY_PASSWORD and KEYSTORE_STORE_PASSWORD.

github/workflows/build.yml
name: Cloud Build
on:
push:
branches: [main]
jobs:
build-ios:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v6
- uses: oven-sh/setup-bun@v2
- run: bun install
- run: bunx @capgo/cli@latest build request com.example.app --platform ios
env:
CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
BUILD_CERTIFICATE_BASE64: ${{ secrets.BUILD_CERTIFICATE_BASE64 }}
CAPGO_IOS_PROVISIONING_MAP: ${{ secrets.CAPGO_IOS_PROVISIONING_MAP }}
P12_PASSWORD: ${{ secrets.P12_PASSWORD }}
APPLE_KEY_ID: ${{ secrets.APPLE_KEY_ID }}
APPLE_ISSUER_ID: ${{ secrets.APPLE_ISSUER_ID }}
APPLE_KEY_CONTENT: ${{ secrets.APPLE_KEY_CONTENT }}
APP_STORE_CONNECT_TEAM_ID: ${{ secrets.APP_STORE_CONNECT_TEAM_ID }}
build-android:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v6
- uses: oven-sh/setup-bun@v2
- run: bun install
- run: bunx @capgo/cli@latest build request com.example.app --platform android
env:
CAPGO_TOKEN: ${{ secrets.CAPGO_TOKEN }}
ANDROID_KEYSTORE_FILE: ${{ secrets.ANDROID_KEYSTORE_FILE }}
KEYSTORE_KEY_ALIAS: ${{ secrets.KEYSTORE_KEY_ALIAS }}
KEYSTORE_KEY_PASSWORD: ${{ secrets.KEYSTORE_KEY_PASSWORD }}
KEYSTORE_STORE_PASSWORD: ${{ secrets.KEYSTORE_STORE_PASSWORD }}
PLAY_CONFIG_JSON: ${{ secrets.PLAY_CONFIG_JSON }}

CI/CDシークレットのために、資格情報ファイルをBase64に変換するには:

ターミナル
# iOS Certificate (.p12)
base64 -i certificate.p12 | tr -d '\n' > certificate_base64.txt
# iOS Provisioning Profiles — use the CLI to generate CAPGO_IOS_PROVISIONING_MAP:
bunx @capgo/cli@latest build credentials save --platform ios \
--ios-provisioning-profile "com.example.app=./profile.mobileprovision" \
# ... other options
# Then copy CAPGO_IOS_PROVISIONING_MAP from ~/.capgo-credentials/credentials.json to your CI secrets
# iOS App Store Connect Key (.p8)
base64 -i AuthKey_XXXXXX.p8 | tr -d '\n' > apple_key_base64.txt
# Android Keystore (.keystore or .jks)
base64 -i release.keystore | tr -d '\n' > keystore_base64.txt
# Google Play Service Account JSON
base64 -i play-store-service-account.json | tr -d '\n' > play_config_base64.txt

このアプローチは次の理由で安全です

  • CI/CD プラットフォームでシークレットを管理
  • ランナー上にシークレットファイルを置かない
  • シークレットのローテーションとアクセス制御が容易
  • シークレットの使用履歴

シークレットのローテーション

セクション:シークレットのローテーション

定期的にシークレットをローテーションする:

  1. iOSAPI
  2. Android年次のキーストアパスワードを変更する
  3. チームの変更後チームメンバーが退職したときにローテートする

保存済みの資格情報を更新する:

ターミナルウィンドウ
# Re-run save command with new credentials
bunx @capgo/cli@latest build credentials save --platform ios --certificate ./new-cert.p12 ...

トラブルシューティング

トラブルシューティング

資格情報が見つかりません

資格情報が見つかりません

ビルドが資格情報が見つからなかったと表示する場合:

  1. __CAPGO_KEEP_0__を保存されているか確認します:

    __CAPGO_KEEP_1__ウィンドウ
    bunx @capgo/cli@latest build credentials list
  2. __CAPGO_KEEP_0__が存在しない場合に保存:

    __CAPGO_KEEP_1__ウィンドウ
    bunx @capgo/cli@latest build credentials save --platform ios ...
  3. __CAPGO_KEEP_0__ファイルが存在するか確認します:

    __CAPGO_KEEP_1__ウィンドウ
    ls -la ~/.capgo-credentials/credentials.json # global
    ls -la .capgo-credentials.json # local (--local)

__CAPGO_KEEP_0__ファイルを読み込む際に「__CAPGO_KEEP_0__」エラーが発生します

__CAPGO_KEEP_3__

__CAPGO_KEEP_3__の修正:ファイルのパーミッションを修正します

ターミナル画面
chmod 600 ~/.capgo-credentials/credentials.json # global
chmod 600 .capgo-credentials.json # local

正しいプラットフォームが指定されているか確認してください:

ターミナル画面
# Make sure --platform matches saved credentials
bunx @capgo/cli@latest build request com.example.app --platform ios # Uses ios credentials
bunx @capgo/cli@latest build request com.example.app --platform android # Uses android credentials

クレデンシャルをクリアして再保存

「クレデンシャルをクリアして再保存」セクション

クレデンシャルが損傷しているように見える場合:

ターミナル画面
# Clear all credentials
bunx @capgo/cli@latest build credentials clear
# Save again
bunx @capgo/cli@latest build credentials save --platform ios ...

Migrate from Environment Variables

環境変数からマイグレーション

環境変数を使用している場合、保存済みの資格情報にマイグレートできます。

  1. 現在使用している環境変数を抽出

    ターミナル
    echo $BUILD_CERTIFICATE_BASE64 # Verify they exist
  2. base64ファイルを元のファイルにデコード (必要に応じて)

    ターミナル
    echo "$BUILD_CERTIFICATE_BASE64" | base64 -d > cert.p12
    echo "$BUILD_PROVISION_PROFILE_BASE64" | base64 -d > profile.mobileprovision
  3. CLIで保存

    ターミナル
    bunx @capgo/cli@latest build credentials save \
    --platform ios \
    --certificate ./cert.p12 \
    --ios-provisioning-profile ./profile.mobileprovision \
    --p12-password "$P12_PASSWORD" \
    --apple-key-id "$APPLE_KEY_ID" \
    --apple-issuer-id "$APPLE_ISSUER_ID" \
    --apple-team-id "$APP_STORE_CONNECT_TEAM_ID"

    __CAPGO_KEEP_0__の既存の資格情報が保存されている場合、古い形式 (単一 BUILD_PROVISION_PROFILE_BASE64の場合、実行してください。

    ターミナルウィンドウ
    bunx @capgo/cli@latest build credentials migrate --platform ios

    このは、 CAPGO_IOS_PROVISIONING_MAP の既存の資格情報を削除します。 BUILD_PROVISION_PROFILE_BASE64 をテストする APPLE_PROFILE_NAME ターミナルウィンドウ

  4. コピーする

    Capacitor
    bunx @capgo/cli@latest build request com.example.app --platform ios
  5. 環境変数を削除 (任意)

    ターミナル画面
    unset BUILD_CERTIFICATE_BASE64 BUILD_PROVISION_PROFILE_BASE64

クレデンシャルは、単一のJSONファイルに保存されています:

  • グローバル (デフォルト): ~/.capgo-credentials/credentials.json すべてのプロジェクトに共有されます
  • ローカル (with --local): .capgo-credentials.json プロジェクトのルートディレクトリ — そのプロジェクトごとにグローバルファイルを上書きします

このファイルは、最初にクレデンシャルを保存したときに自動的に作成されます。追加 .capgo-credentials.json あなたの .gitignore したがって、プロジェクトごとのクレデンシャルは、どの時でもコミットされません。

「クレデンシャルを管理する」から続けて

「クレデンシャルを管理する」セクション

あなたが「クレデンシャルを管理する」を使用している場合 トラブルシューティング ガイド CI/CD自動化の計画を行うには、 Capgo CI/CD Capgo CI/CDの製品ワークフロー Capgoネイティブビルド Capgoネイティブビルドの製品ワークフロー Capgo統合 Capgo統合の製品ワークフロー CI/CD統合 CI/CD統合の実装詳細 GitHubアクション統合 GitHubアクション統合の実装詳細