SSH CAをOrganizationに追加すると、メンバーはあなたが提供したSSH証明書を使用してOrganizationにアクセスできるようになります。 SSHがリポジトリで無効になっていなければ、Organizationのリソースにメンバーがアクセスする際に、SSH証明書を使わなければならないようにすることができます。詳しくは、「SSH認証局について」をご覧ください。
各クライアント証明書を発行する際には、その証明書がどのGitHub Enterprise Serverユーザー用かを示すエクステンションを含める必要があります。 詳しくは、「SSH認証局について」を参照してください。
SSH認証局を追加する
Enterprise に SSH 証明書が必要な場合、Enterprise メンバーは SSH 経由の Git 操作に特別な URL を使用する必要があります。 詳しくは、「SSH認証局について」を参照してください。
各証明機関は、GitHub Enterprise Server 上の 1 個のアカウントにのみアップロードできます。 SSH 証明機関が Organization または Enterprise アカウントに追加されている場合、GitHub Enterprise Server 上の別の Organization または Enterprise アカウントに同じ証明機関を追加することはできません。
1 つの証明機関を Enterprise に追加し、もう 1 つの証明機関を Enterprise 内の Organization に追加する場合は、いずれかの証明機関を使用して Organization のリポジトリにアクセスできます。
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織の隣の [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[SSH 認証局] の右側にある [新しい CA] をクリックします。
-
"Key(キー)"の下で、公開SSHキーを貼り付けてください。
-
[CA の追加] をクリックします。
-
必要に応じて、メンバーに SSH 証明書の使用を要求するには、 [SSH 証明書を要求する] を選択し、 [保存] をクリックします。
注: SSH 証明書が必要な場合、ユーザーは HTTPS または未署名の SSH キーを使用して組織のリポジトリにアクセスするための認証を行うことができなくなります。
その要件は承認された OAuth appsと GitHub Apps (ユーザーからサーバーへのトークンを含む)、またはデプロイ キーや GitHub エコシステム内の信頼された環境である GitHub Actions などの GitHub 機能には適用されません。
SSH認証局を削除する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織の隣の [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[SSH 認証局] で、削除する CA の右側にある [削除] をクリックします。
-
警告を読み、 [わかりました。この CA を削除してください] をクリックします。 では、期限切れでない証明書の使用が許可されます。 新しい CA に有効期限切れが必要になった理由の詳細については、「SSH認証局について」を参照してください。 既存の CA をアップグレードして、有効期限が切れていない証明書を発行できないようにすることができます。 最適なセキュリティを確保するために、期限切れでない証明書に依存していないことを検証したら、すべての CA をアップグレードすることを強くお勧めします。
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織の隣の [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
「SSH 証明機関」で、アップグレードする CA の右側にある [アップグレード] をクリックします。
-
警告を読み取ったら、[アップグレード] をクリックします。
CA をアップグレードすると、その CA によって署名された有効期限が切れていない証明書は拒否されます。