0
與其他人一樣,我使用GitHub作爲我的開源項目。現在我想使用VSTS作爲構建和發佈服務而不是AppVeyor。使用VSTS和GitHub代碼簽名來源
將來我想簽署我所有的NuGet軟件包。
但是:我應該在哪裏存儲我的證書文件(pfx)?
- VSTS沒有keyvault
- 我不想來存儲我的PFX文件在GitHub上或其他公共場所
我的想法
- 我可以存儲PEM( base64)轉換爲build var,並在構建證書(pfx)期間使用openssl創建(pfx)
- 我可以將pfx文件存儲在專用且安全的blob存儲上d在編譯期間下載pfx
這裏的最佳實踐是什麼?
您仍然可以使用密鑰保管庫。看看[這個](https://blogs.msdn.microsoft.com/najib/2017/03/07/protecting-secrets-using-vsts-and-azure-key-vault/)博客的一些靈感。 –
我沒有嘗試[這個例子](https://www.harvestdatacorp.com/blog/2017/04/26/vsts-with-code-signed-pfx-certificates/),但它可能適用於你與[下載安全文件](https://docs.microsoft.com/en-us/vsts/build-release/tasks/utility/download-secure-file)VSTS任務的組合。 –