我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们
文章版本: GitHub.com

关于 SSH 认证中心

通过 SSH 认证中心,组织或企业帐户可提供 SSH 证书,供成员用来通过 Git 访问您的资源。

SSH 认证中心支持可用于 GitHub Enterprise Cloud 和 GitHub Enterprise Server 2.19+。 更多信息请参阅“GitHub's products”。

SSH 证书是一种机制:一个 SSH 密钥对另一个 SSH 密钥签名。 如果使用 SSH 认证中心 (CA) 为组织成员提供已签名的 SSH 证书,您可以将 CA 添加到企业帐户或组织,以便组织成员使用其证书访问组织资源。 更多信息请参阅“管理组织的 SSH 认证中心”。

在将 SSH CA 添加到组织或企业帐户后,您可以使用 CA 为组织成员签名客户 SSH 证书。 组织成员可以使用已签名的证书通过 Git 访问组织的仓库(并且只访问您组织的仓库)。 You can require that members use SSH certificates to access organization resources. For more information, see "Enforcing security settings in your enterprise account."

例如,您可以构建内部系统,每天早上向开发者颁发新证书。 每个开发者可以使用其每日证书处理组织在 GitHub 上的仓库。 在一天结束时,证书会自动到期,以保护仓库,避免证书以后被窃取。

在颁发每个证书时,必须包含扩展,以指定证书用于哪个 GitHub 用户。 For example, you can use OpenSSH's ssh-keygen command, replacing KEY-IDENTITY with your key identity and USERNAME with a GitHub username:

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@github.com=USERNAME ./user-key.pub

To issue a certificate for someone who has different usernames for GitHub Enterprise Server and GitHub Enterprise Cloud, you can include two login extensions.

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@github.com=CLOUD-USERNAME extension:login@HOSTNAME=SERVER-USERNAME ./user-key.pub

You can restrict the IP addresses from which an organization member can access your organization's resources by using a source-address extension. The extension accepts a specific IP address or a range of IP addresses using CIDR notation. You can specify multiple addresses or ranges by separating the values with commas. For more information, see "Classless Inter-Domain Routing" on Wikipedia.

$ ssh-keygen -s ./ca-key -I KEY-IDENTITY -O extension:login@github.com=USERNAME -O source-address=COMMA-SEPARATED-LIST-OF-IP-ADDRESSES-OR-RANGES ./user-key.pub

即使您实施了 SAML 单点登录,组织成员也可使用其签名的证书进行身份验证。 除非您将 SSH 证书设为要求,组织成员可继续使用其他验证方式通过 Git 访问组织的资源,包括他们的用户名和密码、个人访问令牌及其自己的 SSH 密钥。

To prevent authentication errors, organization members should use a special URL that includes the organization ID to clone repositories using signed certificates. Anyone with read access to the repository can find this URL on the repository page. 更多信息请参阅“克隆仓库”。

问问别人

找不到要找的内容?

联系我们