Skip to main content

此版本的 GitHub Enterprise 已停止服务 2022-06-03. 即使针对重大安全问题,也不会发布补丁。 要获得更好的性能、改进的安全性和新功能,请升级到 GitHub Enterprise 的最新版本。 如需升级方面的帮助,请联系 GitHub Enterprise 支持

配置 TLS

您可以在 您的 GitHub Enterprise Server 实例 上配置� 输层安全 (TLS),以便使用由可信证书颁发机构签名的证书。

关于� 输层安全

当 GitHub Enterprise Server 首次启动时,会启用 TLS(替代了 SSL)并通过自签名证书进行配置。 由于自签名证书不受 Web 浏览器和 Git 客户端的信任,� 此这些客户端将报告证书警告,直至您禁用 TLS 或上� 由 Let's Encrypt 等可信颁发机构签名的证书。

GitHub Enterprise Server 设备将在 SSL 启用时发送 HTTP 严� �� 输安全� �头。 禁用 TLS 会导致用户� 法访问设备,� 为用户的浏览器将不允许协议降级为 HTTP。 更多信息请参阅 Wikipedia 上的“HTTP 严� �� 输安全 (HSTS)”。

警告: 在负载均衡器上终止 HTTPS 连接时,从负载均衡器到 GitHub Enterprise Server 的请求也需要使用 HTTPS。 不支持降级到 HTTP 连接。

要允许用户使用 FIDO U2F 进行双重身份验证,您必须为实例启用 TLS。 更多信息请参阅“配置双重身份验证”。

基本要求

要在生产中使用 TLS,您必须具有由可信证书颁发机构签名的未� 密 PEM � �式的证书。

您的证书还需要为“启用子域隔离”中列出的子域配置使用者可选名称,如果证书已由中间证书颁发机构签名,将需要包含完整的证书链。 更多信息请参阅 Wikipedia 上的“使用者可选名称”。

您可以使用 ghe-ssl-generate-csr 命令为实例生成证书签名请求 (CSR)。 更多信息请参阅“命令行实用程序”。

上� 自定义 TLS 证书

Warning: Configuring TLS causes a small amount of downtime for 您的 GitHub Enterprise Server 实例.

  1. 从 GitHub Enterprise Server 上的管理帐户中,在任何页面的右上角,单击

    用于访问站点管理员设置的火箭飞船图� �的屏幕截图

  2. 如果您尚未进入“站点管理员”页面,请在左上角单击 Site admin(站点管理员)

    "站点管理员" 链接的屏幕截图

  3. 在左侧边� �中,单击 管理控制台左侧边� �中的 管理控制台 选项卡

  4. 在左侧边� �中,单击 Privacy(隐私)设置侧边� �中的隐私选项卡

  5. 选择 TLS only (recommended)(仅 TLS (推荐))用于选择仅 TLS 的复选框

  6. 在“TLS Protocol support”下,选择您想要允许的协议。 包含用于选择 TLS 协议的选项的单选按钮

  7. 在“Certificate”下,单击 Choose File,选择要安装的 TLS 证书或证书链(PEM � �式)。 此文件通常采用 .pem.crt.cer 扩展名。 用于查找 TLS 证书文件的按钮

  8. 在“Unencrypted key(未� 密密钥)”下,单击 Choose File(选择文件)选择要安装的 RSA 密钥(PEM � �式)。 此文件通常采用 .key 扩展名。 用于查找 TLS 密钥文件的按钮

    警告:您的密钥必须是 RSA 密钥,并且不能有密� �。 更多信息请参阅“将密� �从密钥文件中移除”。

  9. 在左侧边� �下,单击 Save settings(保存设置)

    管理控制台 中保存设置按钮的屏幕截图

    注意: 管理控制台 中的保存设置将重新启动系统服务,这可能会导致用户可见的停机时间。

  10. 等待配置运行完毕。

    配置实例

关于 Let's Encrypt 支持

Let's Encrypt 是公共证书颁发机构,他们使用 ACME 协议颁发受浏览器信任的免费、自动化 TLS 证书。 您可以在设备上自动获取并续订 Let's Encrypt 证书,� 需手动维护。

要使用“让我们� 密”自动化,您的设备必须配置可通过 HTTP 公开访问的主机名。 该设备还必须可以进行出站 HTTPS 连接。

在您启用通过 Let's Encrypt 自动进行 TLS 证书管理后,您的 GitHub Enterprise Server 实例 将与 Let's Encrypt 服务器通信,以获取证书。 要续订证书,Let's Encrypt 服务器必须通过入站 HTTP 请求验证已配置域名的控制。

您还可以在 您的 GitHub Enterprise Server 实例 上使用 ghe-ssl-acme 命令行实用程序自动生成 Let's Encrypt 证书。 更多信息请参阅“命令行实用程序”。

使用 Let's Encrypt 配置 TLS

要使用“让我们� 密”自动化,您的设备必须配置可通过 HTTP 公开访问的主机名。 该设备还必须可以进行出站 HTTPS 连接。

Warning: Configuring TLS causes a small amount of downtime for 您的 GitHub Enterprise Server 实例.

  1. 从 GitHub Enterprise Server 上的管理帐户中,在任何页面的右上角,单击

    用于访问站点管理员设置的火箭飞船图� �的屏幕截图

  2. 如果您尚未进入“站点管理员”页面,请在左上角单击 Site admin(站点管理员)

    "站点管理员" 链接的屏幕截图

  3. 在左侧边� �中,单击 管理控制台左侧边� �中的 管理控制台 选项卡

  4. 在左侧边� �中,单击 Privacy(隐私)设置侧边� �中的隐私选项卡

  5. 选择 TLS only (recommended)(仅 TLS (推荐))用于选择仅 TLS 的复选框

  6. 选择 Enable automation of TLS certificate management using Let's Encrypt启用 Let's Encrypt 复选框

  7. 在左侧边� �下,单击 Save settings(保存设置)

    管理控制台 中保存设置按钮的屏幕截图

    注意: 管理控制台 中的保存设置将重新启动系统服务,这可能会导致用户可见的停机时间。

  8. 等待配置运行完毕。

    配置实例

  9. 在左侧边� �中,单击 Privacy(隐私)设置侧边� �中的隐私选项卡

  10. 单击 Request TLS certificateRequest TLS Certificate 按钮

  11. 等待“状态”从“开始”更改为“完成”。 Let's Encrypt 状态

  12. 单击 Save configuration