Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Esta versión de GitHub Enterprise se discontinuó el 2022-06-03. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Configurar TLS

Puedes configurar la Seguridad de la capa de transporte (TLS) en tu instancia de GitHub Enterprise Server para poder usar un certificado firmado por una entidad de certificación confiable.

Acerca de la Seguridad de la capa de transporte

El TLS, que reemplazó al SSL, se habilita y configura con un certificado autofirmado cuando se inicia el GitHub Enterprise Server por primera vez. Como los certificados autofirmados no son confiables para los navegadores web y los clientes de Git, estos clientes informarán advertencias de certificados hasta que inhabilites TLS o cargues un certificado firmado por una entidad confiable, como Let's Encrypt.

El aparato GitHub Enterprise Server enviará encabezados de Seguridad de transporte estricta de HTTP mientras SSL esté habilitado. Inhabilitar TLS hará que los usuarios pierdan acceso al aparato, porque sus navegadores no permitirán que un protocolo se degrade a HTTP. Para obtener más información, consulta "Seguridad de transporte estricta de HTTP (HSTS)" en Wikipedia.

Advertencia: cuando se termina una conexión HTTPS en un balanceador de carga, las solicitudes de éste hacia GitHub Enterprise Server necesitarán utilizar HTTPS. Bajar la conexión de categoría a HTTP no es compatible.

Para permitir que los usuarios utilicen FIDO U2F para la autenticación de dos factores, debes habilitar TLS para tu instancia. Para obtener más información, consulta "Configurar autenticación de dos factores".

Prerrequisitos

Para utilizar TLS en la producción, debes tener un certificado en un formato de PEM no cifrado firmado por una entidad de certificación confiable.

Tu certificado también deberá tener configurados Nombres alternativos de sujeto para los subdominios detallados en "Habilitar aislamiento de subdominio" y deberá incluir toda la cadena de certificación si lo firmó una entidad de certificación intermedia. Para obtener más información, consulta "Nombre alternativo de sujeto" en Wikipedia.

Puedes generar una solicitud de firma de certificados (CSR) para tu instancia usando el comando ghe-ssl-generate-csr. Para obtener más información, consulta "utilidades de línea de comandos"

Cargar un certificado TLS personalizado

Advertencia: El configurar el TLS ocasiona una pequeña interrupción de tu instancia de GitHub Enterprise Server.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.

    Captura de pantalla del enlace de "Administrador de sitio"

  3. En la barra lateral izquierda, haz clic en Consola de administración. pestaña Consola de administración en la barra lateral izquierda

  4. En la barra lateral izquierda, da clic en Privacidad. Pestaña de privacidad en la barra lateral de configuración

  5. Selecciona Únicamente TLS (recomendado). Casilla para escoger únicamente TLS

  6. En "TLS Protocol support" (Asistencia de protocolo TLS), selecciona los protocolos que quieres permitir. Botones de radio con opciones para elegir protocolos TLS

  7. En "Certificate" (Certificado), haz clic en Choose File (Elegir archivo) para elegir el certificado TLS o la cadena de certificación (en formato de PEM) que quieras instalar. Este archivo suele tener una extensión .pem, .crt o .cer. Botón para encontrar archivo de certificado TLS

  8. Debajo de "Llave descifrada", haz clic en Elegir archivo para elegir una llave RSA (en formato PEM) a instalar. Ese archivo suele tener una extensión .key. Botón para encontrar archivo de clave TLS

    Advertencia: Tu llave debe ser una llave RSA y no debe tener una frase de acceso. Para obtener más información, consulta "Eliminar la contraseña de tu archivo clave".

  9. Debajo de la barra lateral izquierda, da clic en Guardar configuración.

    Captura de pantalla del botón para guardar los ajustes en la Consola de administración

    Nota: El guardar los ajustes en la Consola de administración restablece los servicios de sistema, lo cual podría dar como resultado un tiempo de inactividad visible.

  10. Espera a que la configuración se ejecute por completo.

    Configurar tu instancia

Acerca de la asistencia de Let's Encrypt

Let's Encrypt es una entidad de certificación pública que emite certificados TLS gratuitos y automáticos que son confiables para los navegadores que usan el protocolo ACME. De hecho, puedes obtener y renovar los certificados de Let's Encrypt para tu aparato sin la necesidad de realizar ningún mantenimiento manual.

Para utilizar la automatización de Let's Encrypt, tu aplicativo debe configurarse con un nombre de host al que se pueda acceder públicamente mediante HTTP. También se le debe permitir al aplicativo realizar conexiones HTTPS salientes.

Cuando habilites la automatización de la gestión de certificado TLS con Let's Encrypt, tu instancia de GitHub Enterprise Server se contactará con los servidores de Let's Encrypt para obtener un certificado. Para renovar un certificado, los servidores de Let's Encrypt deben validar el control del nombre de dominio configurado con las solicitudes HTTP entrantes.

También puedes usar la utilidad de la línea de comando ghe-ssl-acme en tu instancia de GitHub Enterprise Server para generar un certificado de Let's Encrypt de manera automática. Para obtener más información, consulta "Utilidades de la línea de comando."

Configurar TLS usando Let's Encrypt

Para utilizar la automatización de Let's Encrypt, tu aplicativo debe configurarse con un nombre de host al que se pueda acceder públicamente mediante HTTP. También se le debe permitir al aplicativo realizar conexiones HTTPS salientes.

Advertencia: El configurar el TLS ocasiona una pequeña interrupción de tu instancia de GitHub Enterprise Server.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.

    Captura de pantalla del enlace de "Administrador de sitio"

  3. En la barra lateral izquierda, haz clic en Consola de administración. pestaña Consola de administración en la barra lateral izquierda

  4. En la barra lateral izquierda, da clic en Privacidad. Pestaña de privacidad en la barra lateral de configuración

  5. Selecciona Únicamente TLS (recomendado). Casilla para escoger únicamente TLS

  6. Selecciona Enable automation of TLS certificate management using Let's Encrypt (Habilitar la automatización de la gestión de certificado TLS con Let's Encrypt). Casilla de verificación para habilitar Let's Encrypt

  7. Debajo de la barra lateral izquierda, da clic en Guardar configuración.

    Captura de pantalla del botón para guardar los ajustes en la Consola de administración

    Nota: El guardar los ajustes en la Consola de administración restablece los servicios de sistema, lo cual podría dar como resultado un tiempo de inactividad visible.

  8. Espera a que la configuración se ejecute por completo.

    Configurar tu instancia

  9. En la barra lateral izquierda, da clic en Privacidad. Pestaña de privacidad en la barra lateral de configuración

  10. Haz clic en Request TLS certificate (Solicitar certificado TLS). Botón para solicitar certificado TLS

  11. Espera para que el "Estado" cambie de "INICIADO" a "HECHO". Estado de "vamos a cifrar"

  12. Haz clic en Save configuration (Guardar configuración).