Sobre autoridades certificadas de SSH
Um certificado SSH é um mecanismo utilizado para uma chave SSH assinar outra chave SSH. Se você usa uma autoridade certificada (CA) SSH para fornecer certificados SSH aos integrantes da organização, você pode adicionar a CA em sua conta corporativa ou organização para permitir que integrantes da organização usem os certificados deles para acessar os recursos da organização.
Depois de adicionar uma CA SSH � sua organização ou conta corporativa, você pode usar a CA para assinar certificados SSH de cliente para integrantes da organização. Integrantes da organização podem usar os certificados assinados para acessar os repositórios da sua organização (e somente os repositórios da sua organização) no Git. Opcionalmente, você pode exigir que os integrantes utilizem certificados SSH para acessar recursos da organização. Para obter mais informações, consulte "Gerenciando as autoridades certificadas SSH da sua organização" e "Aplicando as políticas para configurações de segurança na sua empresa. "
Por exemplo, você pode desenvolver um sistema interno que emite um novo certificado para seus desenvolvedores todas as manhãs. Cada desenvolvedor pode usar o certificado diário para trabalhar nos repositórios da organização no GitHub Enterprise Server. No final do dia, o certificado pode expirar automaticamente, protegendo seus repositórios caso o certificado seja adulterado mais tarde.
Os integrantes não poderão usar seus certificados para acessar bifurcações dos seus repositórios que são propriedade das contas de usuário.
Para evitar erros de autenticação, os integrantes da organização devem usar uma URL especial que inclua o ID da organização para clonar repositórios usando certificados assinados. Qualquer pessoa com acesso de leitura no repositório pode localizar essa URL na página do repositório. Para obter mais informações, consulte "Clonar um repositório".
Emitindo certificados
A cada emissão de certificado, você deve incluir uma extensão especificando para qual usuário do GitHub Enterprise Server é o certificado. Por exemplo, você pode usar o comando do OpenSSH ssh-keygen
substituindo KEY-IDENTITY por sua identidade chave e USERNAME por um nome de usuário do GitHub Enterprise Server. O certificado que você gerar será autorizado a agir em nome desse usuário para qualquer um dos recursos da sua organização. Certifique-se de validar a identidade do usuário antes de emitir o certificado.
$ ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@[hostname]=USERNAME ./user-key.pub
Aviso: Depois de um certificado ter sido assinado e emitido, ele não poderá ser revogado. Certifique-se de usar o sinalizador -V
para configurar o tempo de vida útil do certificado ou este poderá ser usado indefinidamente.
Para emitir um certificado para alguém que utiliza SSH para acessar vários produtos de GitHub, você pode incluir duas extensões de login para especificar o nome de usuário para cada produto. Por exemplo, o comando a seguir emitiria um certificado para USERNAME-1 para a conta do usuário para GitHub Enterprise Cloud, e USERNAME-2 para a conta do usuário em GitHub AE ou GitHub Enterprise Server em HOSTNAME.
$ ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME-1 extension:login@HOSTNAME=USERNAME-2 ./user-key.pub
É possível restringir os endereços IP dos quais um integrante da organização pode acessar os recursos da sua organização usando uma extensão source-address
. A extensão aceita um endereço IP específico ou um intervalo de endereços IP usando a notação CIDR. É possível especificar vários endereços ou intervalos separando os valores com vírgulas. Para obter mais informações, consulte "Roteamento interdomínio sem classes" na Wikipedia.
$ ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@[hostname]=USERNAME -O source-address=COMMA-SEPARATED-LIST-OF-IP-ADDRESSES-OR-RANGES ./user-key.pub