此版本的 GitHub Enterprise 已停止服务 2021-09-23. 即使针对重大安全问题,也不会发布补丁。 要获得更好的性能、改进的安全性和新功能,请升级到 GitHub Enterprise 的最新版本。 如需升级方面的帮助,请联系 GitHub Enterprise 支持

关于 SSH 认证中心

通过 SSH 认证中心,组织或企业帐户可提供 SSH 证书,供成员用来通过 Git 访问您的资源。

SSH 证书机构支持可用于 GitHub Enterprise Cloud 和 GitHub Enterprise Server 2.19+。 更多信息请参阅“GitHub's products”。

SSH 证书是一种机制:一个 SSH 密钥对另一个 SSH 密钥签名。 如果使用 SSH 认证中心 (CA) 为组织成员提供已签名的 SSH 证书,您可以将 CA 添加到企业帐户或组织,以便组织成员使用其证书访问组织资源。 更多信息请参阅“管理组织的 SSH 认证中心”。

在将 SSH CA 添加到组织或企业帐户后,您可以使用 CA 为组织成员签名客户 SSH 证书。 组织成员可以使用已签名的证书通过 Git 访问组织的仓库(并且只访问您组织的仓库)。 您可能需要该成员使用 SSH 证书访问组织资源。

例如,您可以构建内部系统,每天早上向开发者颁发新证书。 每个开发者可以使用其每日证书处理组织在 GitHub Enterprise Server 上的仓库。 在一天结束时,证书会自动到期,以保护仓库,避免证书以后被窃取。

在颁发每个证书时,必须包含扩展,以指定证书用于哪个 GitHub Enterprise Server 用户。 例如,您可以使用 OpenSSH 的 ssh-keygen 命令,将 KEY-IDENTITY 替换为密钥标识,USERNAME 替换为 GitHub Enterprise Server 用户名: The certificate you generate will be authorized to act on behalf of that user for any of your organization's resources. Make sure you validate the user's identity before you issue the certificate.

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@[hostname]=USERNAME ./user-key.pub

要为使用 SSH 访问多个 GitHub 产品的人颁发证书,您可以包括两个登录扩展,以指定每个产品的用户名。 例如,以下命令将为 GitHub Enterprise Cloud 的用户帐户颁发 USERNAME-1 的证书,为 HOSTNAME 的 GitHub AE 或 GitHub Enterprise Server 上的用户帐户颁发 USERNAME-2 的证书。

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@github.com=USERNAME-1 extension:login@HOSTNAME=USERNAME-2 ./user-key.pub

您可以使用 source-address 扩展来限制组织成员用来访问组织资源的 IP 地址。 扩展接受采用 CIDR 表示法的特定 IP 地址或一个 IP 地址范围。 您可以指定多个地址或范围,用逗号分隔值。 更多信息请参阅维基百科上的“无类别域间路由”。

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@[hostname]=USERNAME -O source-address=COMMA-SEPARATED-LIST-OF-IP-ADDRESSES-OR-RANGES ./user-key.pub

为防止身份验证错误,组织成员应使用包含组织 ID 的特殊 URL,以使用签名证书克隆仓库。 对仓库具有读取权限的任何人都可在仓库页面上找到此 URL。 更多信息请参阅“克隆仓库”。