Informationen zu SSH-Zertifizierungsstellen
Ein SSH-Zertifikat ist ein Mechanismus, mit dem ein SSH-Schlüssel einen anderen SSH-Schlüssel signieren kann. Wenn du eine SSH-Zertifizierungsstelle (CA) verwendest, um den Mitgliedern deiner Organisation signierte SSH-Zertifikate bereitzustellen, kannst du die Zertifizierungsstelle zu deinem Enterprise-Konto oder deiner Organisation hinzufügen, damit die Organisationsmitglieder mit ihren Zertifikaten auf die Ressourcen der Organisation zugreifen können.
Hinweis: Um SSH-Zertifizierungsstellen zu verwenden, muss Ihre Organisation GitHub Enterprise Cloud verwenden. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.
Wenn du eine SSH-Zertifizierungsstelle zu deiner Organisation oder deinem Enterprise-Konto hinzugefügt hast, kannst du mit der Zertifizierungsstelle Client-SSH-Zertifikate für Organisationsmitglieder signieren. Mitglieder der Organisation können die signierten Zertifikate verwenden, um auf die Repositories dieser Organisation zuzugreifen.
Zertifikate, die Ihrem Unternehmen hinzugefügt wurden, gewähren Zugriff auf alle Organisationen, die ihrem Enterprise-Konto gehören. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.
Du kannst festlegen, dass Mitglieder für den Zugriff auf Organisationsressourcen SSH-Zertifikate verwenden müssen, sofern SSH nicht in deinem Repository deaktiviert ist.
Optional kannst du festlegen, dass Mitglieder SSH-Zertifikate verwenden müssen, um auf Organisationsressourcen zuzugreifen. Weitere Informationen findest du unter SSH-Zertifizierungsstellen Deiner Organisation verwalten und unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.
Du kannst beispielsweise ein internes System einrichten, das jeden Morgen ein neues Zertifikat für deine Entwickler herausgibt. Die Entwickler*innen können mit ihrem aktuellen Zertifikat in den Repositorys deiner Organisation auf GitHub Enterprise Cloud arbeiten. Am Ende des Tages läuft das Zertifikat automatisch ab. So werden deine Repositorys geschützt, falls das Zertifikat zu einem späteren Zeitpunkt kompromittiert wird.
Organisationsmitglieder können ihre signierten Zertifikate für die Authentifizierung verwenden, ohne dass diese autorisiert werden müssen, auch wenn du das einmalige Anmelden (Single Sign-On, SSO) mit SAML erzwungen hast.
Sofern du die Verwendung von SSH-Zertifikaten nicht als erforderlich festlegst, können Organisationsmitglieder weiterhin andere Authentifizierungsmethoden verwenden, um mit Git auf die Ressourcen deiner Organisation zuzugreifen, z. B. ihren Benutzernamen und ihr Passwort, ein personal access token und ihre eigenen SSH-Schlüssel.
Mitglieder können das Zertifikat nicht für den Zugriff auf Forks der Repositorys der Organisation verwenden, es sei denn, das Unternehmen hat SSH-CAs für den Zugriff auf Repositorys im Besitz von Benutzern zugelassen. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.
Informationen zu SSH-URLs mit SSH-Zertifikaten
Falls deine Organisation SSH-Zertifikate verlangt, sollten Organisationsmitglieder eine spezielle URL mit der Organisations-ID verwenden, wenn sie Git-Vorgänge über SSH ausführen. So können Authentifizierungsfehler vermieden werden. Mit dieser speziellen URL können der Client und der Server einfacher aushandeln, welche Schlüssel auf dem Computer des Mitglieds für die Authentifizierung verwendet werden sollen. Wenn ein Mitglied die normale URL verwendet, die mit git@github.com anfängt, bietet der SSH-Client möglicherweise den falschen Schlüssel an, wodurch der Vorgang fehlschlägt.
Jeder mit Lesezugriff auf das Repository kann diese URL finden, indem er das Dropdownmenü Code auf der Hauptseite des Repositorys auswählt und dann auf SSH verwenden klickt.
Wenn deine Organisation keine SSH-Zertifikate verlangt, können Mitglieder weiterhin eigene SSH-Schlüssel oder andere Authentifizierungsmethoden verwenden. In diesem Fall funktioniert entweder die spezielle URL oder die normale URL, die mit git@github.com beginnt.
Ausgabe von Zertifikaten
Beim Herausgeben der einzelnen Zertifikate musst du eine Erweiterung hinzufügen, die festlegt, für welchen GitHub Enterprise Cloud-Benutzer das Zertifikat gedacht ist. Auf Benutzer*innen können Sie über den Anmeldehandle oder die Benutzer-ID verweisen. Sie können z. B. den OpenSSH-Befehl ssh-keygen verwenden und dabei KEY-IDENTITY durch die eigene Schlüsselidentität und USERNAME durch einen GitHub Enterprise Cloud-Benutzernamen oder eine Benutzer-ID ersetzen. Das von dir generierte Zertifikat ist berechtigt, im Auftrag dieses Benutzers bzw. dieser Benutzerin für alle Ressourcen deiner Organisation zu handeln. Stelle sicher, dass du die Identität des Benutzers überprüfst, bevor du das Zertifikat ausstellst.
Hinweis: Du musst ein Update auf OpenSSH 7.6 oder höher durchführen, um diese Befehle verwenden zu können.
Zur Identifizierung des Benutzers mit login verwenden Sie extension:login:
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME ./user-key.pub
Zur Nutzung der Benutzer-ID verwenden Sie extension:id:
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:id@github.com=ID ./user-key.pub
Warnung: Nachdem ein Zertifikat signiert und ausgestellt wurde, kann das Zertifikat nicht gesperrt werden.
Für Zertifizierungsstellen, die nach dem 27. März 2024 hochgeladen wurden, müssen Sie das Flag -V nutzen, um für das Zertifikat eine Lebensdauer von weniger als 366 Tage zu konfigurieren. Für Zertifizierungsstellen, die vor diesem Datum hochgeladen wurden, ist das Flag -V optional. Sie können dann Zertifikate erstellen, die unwiderruflich und unbegrenzt gültig sind.
Wenn Sie über Legacy-Zertifizierungsstellen verfügen, die von der Anforderung eines Ablaufdatums ausgenommen sind, können Sie die Zertifizierungsstellen aktualisieren, um die Anforderung zu erzwingen. Weitere Informationen finden Sie unter „SSH-Zertifizierungsstellen Deiner Organisation verwalten“ und „Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen“.
Wenn Sie einen Benutzernamen als Anmeldungserweiterung verwenden, überprüft GitHub, ob der benannte Benutzer seit der Ausstellung des Zertifikats nicht umbenannt wurde. Dadurch wird ein Umbenennungsangriff verhindert, bei dem ein für einen Benutzernamen ausgestelltes Zertifikat gültig ist, selbst wenn sich das zugrunde liegende Benutzerkonto ändert. Um das zu erzwingen, muss das Zertifikat den Anspruch valid_after enthalten, aus dem hervorgeht, wann das Zertifikat ausgestellt wurde. Dieses Feld fehlt häufig, wenn für das Zertifikat kein Ablaufdatum erforderlich ist. Aus diesem Grund sind Ablauftermine jetzt erforderlich.
Um ein Zertifikat für eine Person auszustellen, die SSH verwendet, um auf mehrere GitHub-Produkte zuzugreifen, kannst du zwei Anmeldeerweiterungen einschließen, um den Benutzernamen für jedes Produkt anzugeben. Zum Beispiel würde der folgende Befehl ein Zertifikat für USERNAME-1 für das Benutzerkonto für GitHub Enterprise Cloud und USERNAME-2 für das Benutzerkonto auf GitHub Enterprise Server auf HOSTNAME ausstellen.
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME-1 extension:login@HOSTNAME=USERNAME-2 ./user-key.pub
Mit der Erweiterung source-address schränkst du die IP-Adressen ein, von denen aus ein Organisationsmitglied auf die Ressourcen deiner Organisation zugreifen kann. Als Erweiterung ist eine bestimmte IP-Adresse oder ein IP-Adressbereich mit CIDR-Notation zulässig. Sollen mehrere Adressen oder Bereiche angegeben werden, trenne sie durch Komma voneinander ab. Weitere Informationen findest du unter Klassenloses Routing zwischen Domänen auf Wikipedia.
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME -O source-address=COMMA-SEPARATED-LIST-OF-IP-ADDRESSES-OR-RANGES ./user-key.pub