Azure Pipelines Agent中Android签名任务密码错误的解决方案

问题背景

在使用Azure Pipelines Agent构建MAUI Android应用时，开发者在Android签名任务中遇到了一个常见但令人困扰的问题：无论输入什么密码，系统总是提示"keystore password was incorrect"错误。这个问题出现在使用Azure托管的Windows Server 2022构建代理上，尽管相同的密钥库文件和密码在本地环境中可以正常工作。

问题分析

从错误日志可以看出，问题发生在Java的PKCS12密钥库加载过程中，具体表现为：

1. 系统无法解密安全内容条目
2. 出现BadPaddingException异常，提示解密时使用了错误的密钥
3. 错误链显示从PKCS12KeyStore.engineLoad方法开始失败

可能的原因

经过分析，这类问题通常由以下几个因素导致：

1. 密码字符编码问题：当密码中包含特殊字符时，在不同环境间传递可能会发生编码变化
2. 密钥库文件损坏：文件在传输或存储过程中可能被破坏
3. Java版本差异：构建代理使用的Java版本与本地环境不同
4. 密码存储方式问题：Azure DevOps中的变量存储和传递机制可能导致密码被修改

解决方案

开发者最终解决了这个问题，虽然没有详细说明具体方法，但根据类似案例的经验，以下是几种有效的解决方案：

1. 重新生成密钥库文件：

   • 使用keytool重新创建密钥库
   • 确保使用简单的ASCII字符作为密码
   • 避免在密码中使用特殊字符

2. 检查密码变量：

   • 确保Azure DevOps中的秘密变量没有多余的空格或隐藏字符
   • 尝试直接在任务中硬编码密码进行测试

3. Java环境调整：

   • 在构建任务前添加Java版本选择步骤
   • 确保使用与本地环境相同的Java版本

4. 签名工具替代方案：

   • 考虑使用jarsigner代替apksigner
   • 或者将签名步骤移到本地完成后再上传

最佳实践建议

为了避免这类问题，建议采取以下预防措施：

1. 在创建密钥库时使用简单的字母数字密码
2. 在Azure DevOps中设置变量时，先在记事本中编辑再粘贴，避免隐藏字符
3. 在管道中添加调试步骤，输出密码长度和哈希值用于验证
4. 考虑将签名步骤作为独立的发布任务而非构建的一部分

总结

Android应用签名是发布流程中的关键步骤，Azure Pipelines中的签名任务虽然方便，但也可能因为环境差异导致各种问题。通过理解密钥库的工作原理和Azure DevOps的变量处理机制，开发者可以更有效地诊断和解决这类密码验证失败的问题。最重要的是保持开发环境和构建环境的一致性，并采用简单可靠的密码策略。