8

升级到 Azure DevOps Server 2019 后,自动管道构建在 NuGet 还原步骤失败,显示:

错误:错误:无法获取本地颁发者证书

包无法还原

Microsoft 的文档指出,在 Windows 上运行的构建代理使用 Windows 证书存储,因此我检查了所需的证书是否已正确安装在构建服务器上,但它仍然失败。

有许多问题具有相似的症状,但原因不同。经过调查,我找到了解决方案,但我没有在这个确切的问题上发现任何东西,所以我会发布一个答案,希望能节省其他人一些时间!

4

3 回答 3

9

我将 PowerShell 代理作业与以下脚本一起使用。这有效地为管道的 Node.JS 提供了“使用 Windows 机器证书存储”选项。

一些注意事项:

  • 使用 ProcMon 监控 node.exe 建议NODE_EXTRA_CA_CERTS每次运行管道时都会读取其中引用的文件。但是,其他人建议需要运行Restart-Service vstsagent* -Force才能进行更改。这不是我的经验,但环境之间的不同可能会导致这种行为。

  • 这增加了大约 1 秒的管道执行时间。对于“在 Windows 上为 Node in Pipelines 设置并忘记证书管理”,这可能是一个可以接受的价格,但仍然值得注意。

# If running in a pipeline then use the Agent Home directory,
# otherwise use the machine temp folder which is useful for testing
if ($env:AGENT_HOMEDIRECTORY -ne $null) { $TargetFolder = $env:AGENT_HOMEDIRECTORY }
else { $TargetFolder = [System.Environment]::GetEnvironmentVariable('TEMP','Machine') }

# Loop through each CA in the machine store
Get-ChildItem -Path Cert:\LocalMachine\CA | ForEach-Object {

    # Convert cert's bytes to Base64-encoded text and add begin/end markers
    $Cert = "-----BEGIN CERTIFICATE-----`n"
    $Cert+= $([System.Convert]::ToBase64String($_.export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert),'InsertLineBreaks'))
    $Cert+= "`n-----END CERTIFICATE-----`n"

    # Append cert to chain
    $Chain+= $Cert
}

# Build target path
$CertFile = "$TargetFolder\TrustedRootCAs.pem"

# Write to file system
$Chain | Out-File $CertFile -Force -Encoding ASCII

# Clean-up
$Chain = $null

# Let Node (running later in the pipeline) know from where to read certs
Write-Host "##vso[task.setvariable variable=NODE.EXTRA.CA.CERTS]$CertFile"
于 2020-01-08T11:38:17.130 回答
9

事实证明,Azure DevOps 构建代理使用的是不使用 Windows 证书存储的 Node.js 版本。

所需的解决方案是将 Node.js 指向自签名 SSL 证书的根 CA 证书的导出副本(*.cer 文件),使用名为的系统环境变量NODE_EXTRA_CA_CERTS或使用名为的任务变量NODE.EXTRA.CA.CERTS,其值指向证书。

开发者社区问题链接

于 2019-07-02T15:30:08.510 回答
1

我从@alifen 格式化了PowerShell 脚本。下面的脚本可以在构建代理本身上执行。它接受目标路径的参数并在服务器上设置环境变量。

感谢@alifen


[CmdletBinding()]
param (
    [Parameter()]
    [string]
    $TargetFolder = "$env:SystemDrive\Certs"
)
If (-not(Test-Path $TargetFolder))
{
    $null = New-Item -ItemType Directory -Path $TargetFolder -Force
}
# Loop through each CA in the machine store
Get-ChildItem -Path Cert:\LocalMachine\CA | ForEach-Object {

    # Convert cert's bytes to Base64-encoded text and add begin/end markers
    $Cert = "-----BEGIN CERTIFICATE-----`n"
    $Cert += $([System.Convert]::ToBase64String($_.export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert), 'InsertLineBreaks'))
    $Cert += "`n-----END CERTIFICATE-----`n"

    # Append cert to chain
    $Chain += $Cert
}

# Build target path
$CertFile = "$TargetFolder\TrustedRootCAs.pem"

# Write to file system
Write-Host "[$($MyInvocation.MyCommand.Name)]: Exporting certs to: [$CertFile]"
$Chain | Out-File $CertFile -Force -Encoding ASCII

# Set Environment variable
Write-Host "[$($MyInvocation.MyCommand.Name)]: Setting environment variable [NODE_EXTRA_CA_CERTS] to [$CertFile]"
[Environment]::SetEnvironmentVariable("NODE_EXTRA_CA_CERTS", "$CertFile", "Machine")
于 2020-12-23T17:38:46.300 回答