Acerca de la firma de confirmación web
Si habilitas la firma de confirmación web, GitHub Enterprise Server usará automáticamente GPG para firmar confirmaciones que los usuarios realizan en la interfaz web de tu instancia de GitHub Enterprise Server. Las confirmaciones firmadas por GitHub Enterprise Server tendrán un estado comprobado. Para obtener más información, vea «Acerca de la verificación de firma de confirmación».
Puedes habilitar la firma de confirmación web, rotar la clave privada usada para la firma de confirmación web y deshabilitar la firma de confirmación web.
Habilitación de la firma de confirmación web
-
En el shell administrativo, crea una clave PGP. Anota la dirección de correo electrónico y el identificador de clave.
Bash gpg --full-generate-key --pinentry-mode=loopback
gpg --full-generate-key --pinentry-mode=loopback
- Usa el tipo de clave predeterminado y al menos
4096
bits sin expiración. - Usa
web-flow
como nombre de usuario. Siweb-flow
no está disponible o no se puede usar, usa cualquier nombre de usuario nuevo que sea único. Usa este nombre de usuario en los pasos siguientes de este artículo. - Si tienes una dirección de correo electrónico sin respuesta definida en Consola de administración, usa esa dirección de correo electrónico. Si no es así, usa cualquier dirección de correo electrónico, como
web-flow@my-company.com
. No es necesario que la dirección de correo electrónico sea válida. - La clave PGP no se puede proteger mediante una frase de contraseña.
- Usa el tipo de clave predeterminado y al menos
-
Define la clave como una variable de entorno para GitHub Enterprise Server, reemplazando
<YOUR-KEY-ID>
por el Id. de clave GPG.Bash ghe-config "secrets.gpgverify.web-signing-key" "$(gpg --export-secret-keys -a <YOUR-KEY-ID> | awk '{printf "%s\\n", $0}')"
ghe-config "secrets.gpgverify.web-signing-key" "$(gpg --export-secret-keys -a <YOUR-KEY-ID> | awk '{printf "%s\\n", $0}')"
-
Actualiza la configuración del servicio de firma de confirmación de GitHub Enterprise Server.
Bash sudo consul-template -once -template /etc/consul-templates/etc/nomad-jobs/gpgverify/gpgverify.hcl.ctmpl:/etc/nomad-jobs/gpgverify/gpgverify.hcl nomad job run /etc/nomad-jobs/gpgverify/gpgverify.hcl
sudo consul-template -once -template /etc/consul-templates/etc/nomad-jobs/gpgverify/gpgverify.hcl.ctmpl:/etc/nomad-jobs/gpgverify/gpgverify.hcl nomad job run /etc/nomad-jobs/gpgverify/gpgverify.hcl
-
Habilita la firma de confirmación web.
Bash ghe-config app.github.web-commit-signing-enabled true
ghe-config app.github.web-commit-signing-enabled true
-
Crea un nuevo usuario en tu instancia de GitHub Enterprise Server a través de la autenticación integrada o la autenticación externa. Para obtener más información, vea «Acerca de la administración de identidad y de acceso».
- El nombre de usuario del usuario debe ser el mismo nombre de usuario que usaste al crear la clave PGP en el paso 1 anterior, por ejemplo,
web-flow
. - La dirección de correo electrónico del usuario debe ser la misma dirección que usaste al crear la clave PGP.
- El nombre de usuario del usuario debe ser el mismo nombre de usuario que usaste al crear la clave PGP en el paso 1 anterior, por ejemplo,
-
Ejecuta el comando siguiente, pero reemplaza KEY-ID por el identificador de tu clave de PGP.
Bash gpg --armor --export KEY-ID
gpg --armor --export KEY-ID
-
Copia la clave de PGP, que empieza por
-----BEGIN PGP PUBLIC KEY BLOCK-----
y termina con-----END PGP PUBLIC KEY BLOCK-----
. -
Inicia sesión en GitHub Enterprise Server como el usuario creado para la firma de confirmación web, por ejemplo,
web-flow
. -
Agrega la clave PGP pública al perfil del usuario. Para obtener más información, vea «Adición de una clave de GPG a una cuenta de GitHub».
Nota: No quites otras claves públicas de la lista de claves GPG. Si se elimina una clave pública, los commits firmados con la clave privada correspondiente dejarán de estar marcados como comprobados.
-
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haga clic en .
-
Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.
-
En la barra lateral " Administrador del sitio", haz clic en Consola de administración .
-
En la barra lateral Settings, haga clic en Email.
-
En "Dirección de correo electrónico sin respuesta", escribe la misma dirección de correo electrónico que usaste al crear la clave PGP.
Nota: El campo "Dirección de correo electrónico sin respuesta" solo se mostrará si has habilitado el correo electrónico para tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Configurar el correo electrónico para notificaciones».
-
En la barra lateral "Configuración" , haga clic en Guardar configuración.
Nota: Al guardar la configuración en la Consola de administración se restablecen los servicios de sistema, lo que podría generar un tiempo de inactividad visible para el usuario.
-
Espera que se complete la fase de configuración.
Rotación de la clave privada usada para la firma de confirmación web
-
En el shell administrativo, crea una clave PGP. Anota la dirección de correo electrónico y el identificador de clave.
Bash gpg --full-generate-key --pinentry-mode=loopback
gpg --full-generate-key --pinentry-mode=loopback
- Usa el tipo de clave predeterminado y al menos
4096
bits sin expiración. - Usa el nombre de usuario de firma de confirmación web, por ejemplo,
web-flow
. - Usa la dirección de correo electrónico sin respuesta definida en Consola de administración, que debe ser la misma que la dirección de correo electrónico del usuario de firma de confirmación web, por ejemplo,
web-flow
. - La clave PGP no se puede proteger mediante una frase de contraseña.
- Usa el tipo de clave predeterminado y al menos
-
Define la clave como una variable de entorno para GitHub Enterprise Server, reemplazando
<YOUR-KEY-ID>
por el Id. de clave GPG.Bash ghe-config "secrets.gpgverify.web-signing-key" "$(gpg --export-secret-keys -a <YOUR-KEY-ID> | awk '{printf "%s\\n", $0}')"
ghe-config "secrets.gpgverify.web-signing-key" "$(gpg --export-secret-keys -a <YOUR-KEY-ID> | awk '{printf "%s\\n", $0}')"
-
Actualiza la configuración del servicio de firma de confirmación de GitHub Enterprise Server.
Bash sudo consul-template -once -template /etc/consul-templates/etc/nomad-jobs/gpgverify/gpgverify.hcl.ctmpl:/etc/nomad-jobs/gpgverify/gpgverify.hcl nomad job run /etc/nomad-jobs/gpgverify/gpgverify.hcl
sudo consul-template -once -template /etc/consul-templates/etc/nomad-jobs/gpgverify/gpgverify.hcl.ctmpl:/etc/nomad-jobs/gpgverify/gpgverify.hcl nomad job run /etc/nomad-jobs/gpgverify/gpgverify.hcl
-
Ejecuta el comando siguiente, pero reemplaza KEY-ID por el identificador de tu clave de PGP.
Bash gpg --armor --export KEY-ID
gpg --armor --export KEY-ID
-
Copia la clave de PGP, que empieza por
-----BEGIN PGP PUBLIC KEY BLOCK-----
y termina con-----END PGP PUBLIC KEY BLOCK-----
. -
Inicia sesión en GitHub Enterprise Server como el usuario creado para la firma de confirmación web, por ejemplo,
web-flow
. -
Agrega la clave PGP pública al perfil del usuario. Para obtener más información, vea «Adición de una clave de GPG a una cuenta de GitHub».
Nota: No quites otras claves públicas de la lista de claves GPG. Si se elimina una clave pública, los commits firmados con la clave privada correspondiente dejarán de estar marcados como comprobados.
Deshabilitación de la firma de confirmación web
Puedes deshabilitar la firma de confirmación web para tu instancia de GitHub Enterprise Server.
-
En el shell administrativo, ejecuta el siguiente comando.
Bash ghe-config app.github.web-commit-signing-enabled false
ghe-config app.github.web-commit-signing-enabled false
-
Aplique la configuración.
Bash ghe-config-apply
ghe-config-apply