Hướng dẫn toàn tập về CI/CD cho iOS với Fastlane & GitHub Actions

Cấu hình CI/CD cho iOS thường khá phức tạp do việc quản lý certificate và provisioning profile của Apple. Bài viết này sẽ hướng dẫn bạn từng bước cách sử dụng Fastlane Match và GitHub Actions để tự động hóa quá trình phát hành ứng dụng Flutter lên iOS.

Bước 1: Tạo App Store Connect API Key#

Để GitHub Actions có thể giao tiếp bảo mật với Apple, bạn cần tạo API Key.

1.1 Tạo API Key#

Vào appstoreconnect.apple.com → Users and Access → tab Integrations → App Store Connect API.
Click Generate API Key.
Đặt tên: Fastlane CI
Access: chọn Admin
Click Generate → Download API Key ngay lập tức (bạn sẽ nhận được file AuthKey_XXXXXXXXXX.p8).
Quan trọng: Copy và lưu lại 3 thông tin: Key ID, Issuer ID, và nội dung file .p8.

1.2 Đưa API Key vào GitHub Secrets#

Lấy nội dung file .p8 của bạn:

1
cat ~/Downloads/AuthKey_XXXXXXXXXX.p8

Vào GitHub repo của dự án → Settings → Secrets and variables → Actions → New repository secret, thêm 3 biến sau:

Secret name	Giá trị
`ASC_KEY_ID`	Key ID (VD: `ABC123XYZ`)
`ASC_ISSUER_ID`	Issuer ID (định dạng UUID)
`ASC_PRIVATE_KEY`	Toàn bộ nội dung file `.p8` kể cả dòng `-----BEGIN PRIVATE KEY-----`

Bước 2: Cài đặt Fastlane Match#

2.1 Tạo private repo chứa certificates#

Trên GitHub, tạo một repo mới (VD: your-org/ios-certificates). Bắt buộc set ở chế độ Private và không cần init file README.

2.2 Khởi tạo Match trên máy local#

1
# Cài Fastlane nếu chưa có
2
brew install fastlane
3

4
# Vào thư mục project
5
cd your-project/ios
6

7
# Init Fastlane (nếu chưa có)
8
fastlane init
9

10
# Init Match
11
fastlane match init

Khi được hỏi về chế độ lưu trữ (storage mode), chọn git (1) và nhập URL của repo vừa tạo: https://github.com/your-org/ios-certificates.

2.3 Tạo certificates và provisioning profiles#

1
# Tạo App Store distribution certificate + provisioning profile
2
fastlane match appstore
3

4
# (Tuỳ chọn) Nếu cần Development profile
5
fastlane match development

Match sẽ yêu cầu nhập Match password — đây là passphrase để mã hóa certificates của bạn. Hãy lưu lại cẩn thận vì CI sẽ cần dùng nó.

2.4 Thêm các secrets còn lại vào GitHub#

Secret name	Giá trị
`MATCH_GIT_URL`	`https://YOUR_GIT_PERSONAL_ACCESS_TOKEN@github.com/your-org/ios-certificates`
`MATCH_PASSWORD`	Passphrase bạn vừa đặt lúc chạy match
`APP_IDENTIFIER`	Bundle ID của bạn (VD: `com.minixium.zipgame`)
`APPLE_ID`	Email tài khoản Apple Developer
`APPLE_TEAM_ID`	Team ID — lấy từ Developer Account → Membership
`FASTLANE_APPLE_APPLICATION_SPECIFIC_PASSWORD`	Tạo từ appleid.apple.com
`MATCH_GIT_BASIC_AUTH`	`Git_User_Name:Personal_Access_Token`

Bước 3: Cấu hình Files trong dự án#

Tạo hoặc cập nhật các file sau trong thư mục dự án của bạn.

`ios/fastlane/Matchfile`#

1
git_url(ENV["MATCH_GIT_URL"])
2
git_basic_authorization(Base64.strict_encode64(ENV["MATCH_GIT_BASIC_AUTH"]))
3
storage_mode("git")
4
app_identifier(ENV["APP_IDENTIFIER"])
5
username(ENV["APPLE_ID"])

`ios/fastlane/Appfile`#

1
app_identifier(ENV["APP_IDENTIFIER"])
2
apple_id(ENV["APPLE_ID"])
3
team_id(ENV["APPLE_TEAM_ID"])

`ios/fastlane/Fastfile`#

1
default_platform(:ios)
2

3
require 'tmpdir'
4

5
platform :ios do
6
  lane :beta do
7
    is_ci = !!ENV["CI"]
8
    api_key = nil
9

10
    # Chỉ khởi tạo API Key nếu có đủ biến môi trường (Dùng file tạm để tránh lỗi)
11
    if ENV["ASC_KEY_ID"] && ENV["ASC_ISSUER_ID"] && ENV["ASC_PRIVATE_KEY"]
12
      key_path = File.join(Dir.tmpdir, "auth_key.p8")
13
      File.write(key_path, ENV["ASC_PRIVATE_KEY"].to_s.gsub(/\\n/, "\n").gsub('\n', "\n"))
14

15
      api_key = app_store_connect_api_key(
16
        key_id: ENV["ASC_KEY_ID"],
17
        issuer_id: ENV["ASC_ISSUER_ID"],
18
        key_filepath: key_path
19
      )
20
    end
21

22
    setup_ci if is_ci
23

24
    build_number = latest_testflight_build_number(
25
      api_key: api_key,
26
      app_identifier: ENV["APP_IDENTIFIER"]
27
    ) + 1
28

29
    match(type: "appstore", readonly: is_ci, clone_branch_directly: true, api_key: api_key)
30
    match(type: "development", readonly: is_ci, clone_branch_directly: true, api_key: api_key)
31

32
    # Build Flutter với build_number mới
33
    Bundler.with_unbundled_env do
34
      sh("cd ../.. && flutter build ipa --release \
35
          --build-number=#{build_number} \
36
          --export-options-plist=ios/ExportOptions.plist")
37
    end
38

39
    # Tìm file IPA
40
    flutter_root = File.expand_path("../..", Dir.pwd)
41
    ipa_path = Dir.glob("#{flutter_root}/build/ios/ipa/*.ipa").first
42

43
    UI.important("=========================================")
44
    UI.important("👉 Thư mục gốc dự án: #{flutter_root}")
45
    UI.important("👉 Đường dẫn file IPA: #{ipa_path.inspect}")
46
    UI.important("=========================================")
47

48
    if ipa_path
49
      pilot(
50
        ipa: ipa_path,
51
        skip_waiting_for_build_processing: true,
52
        api_key: api_key
53
      )
54
    else
55
      UI.user_error!("Không tìm thấy file .ipa nào trong thư mục #{flutter_root}/build/ios/ipa/")
56
    end
57
  end
58
end

`ios/Gemfile`#

1
source "[https://rubygems.org](https://rubygems.org)"
2

3
gem "fastlane"
4
gem "fastlane-plugin-firebase_app_distribution"
5
gem "cocoapods"
6
gem "xcodeproj"

`ios/ExportOptions.plist`#

1
<?xml version="1.0" encoding="UTF-8"?>
2
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
3
  "[http://www.apple.com/DTDs/PropertyList-1.0.dtd](http://www.apple.com/DTDs/PropertyList-1.0.dtd)">
4
<plist version="1.0">
5
<dict>
6
  <key>method</key>
7
  <string>app-store</string>
8
  <key>teamID</key>
9
  <string>YOUR_TEAM_ID</string>
10
  <key>signingStyle</key>
11
  <string>manual</string>
12
  <key>provisioningProfiles</key>
13
  <dict>
14
    <key>com.minixium.zipgame</key>
15
    <string>match AppStore com.minixium.zipgame</string>
16
  </dict>
17
</dict>
18
</plist>

`.github/workflows/ios.yml`#

1
name: iOS CI/CD
2

3
on:
4
  push:
5
    branches: [main]
6
  workflow_dispatch:
7
    inputs:
8
      lane:
9
        description: "Lane to run"
10
        required: true
11
        default: beta
12
        type: choice
13
        options: [beta, release]
14

15
jobs:
16
  deploy:
17
    runs-on: macos-15
18

19
    steps:
20
      - name: Checkout code
21
        uses: actions/checkout@v4
22

23
      - name: Setup Xcode
24
        uses: maxim-lobanov/setup-xcode@v1
25
        with:
26
          xcode-version: 'latest-stable'
27

28
      - name: Set up Flutter
29
        uses: subosito/flutter-action@v2
30
        with:
31
          channel: stable
32
          cache: true
33

34
      - name: Install Flutter dependencies
35
        run: flutter pub get
36

37
      - name: Set up Ruby
38
        uses: ruby/setup-ruby@v1
39
        with:
40
          ruby-version: "3.2"
41
          bundler-cache: true
42
          working-directory: ios
43

44
      - name: Cache CocoaPods
45
        uses: actions/cache@v4
46
        with:
47
          path: ios/Pods
48
          key: pods-v5-${{ hashFiles('ios/Podfile.lock') }}
49
          restore-keys: pods-v5-
50

51
      - name: Install dependency gems
52
        run: gem install xcodeproj
53

54
      - name: Install CocoaPods
55
        run: |
56
          cd ios
57
          pod install --repo-update
58

59
      - name: Run Fastlane
60
        working-directory: ios
61
        run: bundle exec fastlane ios ${{ github.event.inputs.lane || 'beta' }}
62
        env:
63
          APP_IDENTIFIER: ${{ secrets.APP_IDENTIFIER }}
64
          APPLE_ID: ${{ secrets.APPLE_ID }}
65
          APPLE_TEAM_ID: ${{ secrets.APPLE_TEAM_ID }}
66
          ASC_KEY_ID: ${{ secrets.ASC_KEY_ID }}
67
          ASC_ISSUER_ID: ${{ secrets.ASC_ISSUER_ID }}
68
          ASC_PRIVATE_KEY: ${{ secrets.ASC_PRIVATE_KEY }}
69
          SPACESHIP_CONNECT_API_KEY_ID: ${{ secrets.ASC_KEY_ID }}
70
          SPACESHIP_CONNECT_API_ISSUER_ID: ${{ secrets.ASC_ISSUER_ID }}
71
          SPACESHIP_CONNECT_API_KEY_CONTENT: ${{ secrets.ASC_PRIVATE_KEY }}
72
          MATCH_GIT_URL: ${{ secrets.MATCH_GIT_URL }}
73
          MATCH_PASSWORD: ${{ secrets.MATCH_PASSWORD }}
74
          MATCH_GIT_BASIC_AUTH: ${{ secrets.MATCH_GIT_BASIC_AUTH }}

Bước 4: Chạy test và Validate Local#

4.1 Setup trong Xcode#

Mở Xcode -> Runner -> Target Runner -> Tab Signing & Capabilities
Bỏ tích “Automatically manage signing”
Sửa Bundle Identifier cho đúng với ứng dụng
Chọn Provisioning Name có dạng match AppStore com.your.app

4.2 Test Flutter build iOS trước#

Trước khi chạy Fastlane, hãy đảm bảo Flutter có thể build bản phát hành thành công:

1
flutter build ipa --release --export-options-plist=ios/ExportOptions.plist

Lưu ý: Nếu bước này lỗi, hãy fix các vấn đề liên quan đến Flutter/Signing trước khi tiếp tục với Fastlane.

4.3 Test Match sync certificates#

Tạo file .env.local trong thư mục ios (NHỚ add file này vào .gitignore):

1
APP_IDENTIFIER=com.yourcompany.yourapp
2
APPLE_ID=your@email.com
3
APPLE_TEAM_ID=ABCD1234EF
4
MATCH_GIT_URL=[https://ghp_yourtoken@github.com/your-org/ios-certificates](https://ghp_yourtoken@github.com/your-org/ios-certificates)
5
MATCH_PASSWORD=your-match-password
6
MATCH_GIT_BASIC_AUTH=yourusername:ghp_yourtoken
7
ASC_KEY_ID=XXXXXXXXXX
8
ASC_ISSUER_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
9
ASC_PRIVATE_KEY="-----BEGIN PRIVATE KEY-----\nXXXXX\n-----END PRIVATE KEY-----"

Chạy thử Match local:

1
cd ios
2
bundle exec fastlane match appstore --env local

Kết quả thành công sẽ thấy dòng chữ: [✔] All required keys, certificates and provisioning profiles are installed 🙌

Xử Lý Các Lỗi Phổ Biến#

invalid curve name: Lỗi này xuất hiện do format của file .p8 bị sai lệch khi lấy từ biến môi trường. Hãy kiểm tra lại logic lưu .p8 vào file tạm trong cấu hình Fastfile.
Your bundle only supports platforms ["arm64-darwin-24"]...: Chạy lệnh bundle lock --add-platform arm64-darwin-23 sau đó commit/push lại file Gemfile.lock lên repo.
could not read Password for 'https://***@github.com': terminal prompts disabled: Hãy kiểm tra lại MATCH_GIT_BASIC_AUTH và MATCH_GIT_URL. Lỗi này đồng nghĩa với việc CI không có đủ quyền (permission) để clone repo ios-certificates.