解决actions/setup-java中GPG密钥过期导致的Maven部署失败问题

在使用GitHub Actions的setup-java组件进行Maven中央仓库部署时，开发者可能会遇到一个典型问题：GPG密钥已成功导入，但在执行mvn deploy命令时却出现"No secret key"错误。本文将深入分析该问题的根源，并提供完整的解决方案。

问题现象分析

当开发者配置了以下工作流程时：

1. 使用setup-java@v4配置Maven中央仓库部署环境
2. 正确设置了GPG_SECRET密钥和密码
3. 密钥导入阶段显示成功

但在实际部署阶段，Maven却报错"gpg: no valid OpenPGP data found"和"gpg: decrypt_message failed: No secret key"。这种矛盾现象往往让开发者感到困惑。

根本原因探究

经过多位开发者的实践验证，该问题最常见的原因是：

1. GPG密钥过期：虽然密钥能够被成功导入，但过期的密钥无法用于实际的签名操作
2. 密钥格式问题：特别是当密钥中包含特殊字符或换行符时
3. 环境变量传递问题：MAVEN_GPG_PASSPHRASE未正确传递给gpg-agent

解决方案

1. 检查并更新过期密钥

首先需要检查本地GPG密钥状态：

gpg --list-keys
gpg --list-secret-keys

如果发现密钥已过期，需要执行以下操作：

# 延长密钥有效期
gpg --edit-key [密钥ID]
> expire
> 设置新的过期时间
> save

然后重新导出密钥：

gpg --export-secret-keys > private.key

2. 验证GitHub Secrets格式

确保GitHub仓库Secrets中的GPG_SECRET：

1. 不包含多余的空格或换行符
2. 使用正确的ASCII-armored格式
3. 可以通过添加调试步骤验证：

- name: 验证密钥格式
  run: |
    echo "${{ secrets.GPG_SECRET }}" | gpg --import
    gpg --list-secret-keys

3. 完整的工作流程配置建议

steps:
- uses: actions/checkout@v2
- uses: actions/setup-java@v4
  with:
    gpg-private-key: ${{ secrets.GPG_SECRET }}
    gpg-passphrase: ${{ secrets.GPG_PASSWORD }}
- run: |
    # 调试信息
    gpg --list-secret-keys
    # 部署命令
    mvn clean deploy -B -Pdeploy
  env:
    MAVEN_GPG_PASSPHRASE: ${{ secrets.GPG_PASSWORD }}

最佳实践建议

1. 定期检查密钥有效期：建议设置日历提醒，在密钥到期前1个月进行更新
2. 使用独立的部署密钥：不要将个人GPG密钥用于CI/CD部署
3. 添加验证步骤：在工作流中添加密钥验证步骤，提前发现问题
4. 文档记录：团队内部维护密钥管理文档，记录密钥ID和过期时间

总结

GPG密钥管理是Java项目发布到Maven中央仓库的关键环节。通过本文介绍的方法，开发者可以系统性地解决setup-java环境中的密钥验证问题，确保自动化部署流程的可靠性。记住预防胜于治疗，建立规范的密钥管理流程可以避免很多部署时的意外问题。