Sobre autoridades certificadas de SSH
Um certificado SSH é um mecanismo utilizado para uma chave SSH assinar outra chave SSH. Se você usa uma autoridade de certificação (CA) SSH para fornecer certificados SSH aos membros e colaboradores externos da sua organização, então pode adicionar a CA em sua conta empresarial ou organização para permitir que os colaboradores da organização usem os certificados deles para acessar os recursos da organização.
Note
Para usar autoridades de certificado SSH, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira Como configurar uma avaliação do GitHub Enterprise Cloud.
Depois de adicionar uma CA SSH à sua organização ou conta empresarial, você pode usar a CA para assinar certificados SSH de cliente para membros da organização e colaboradores externos. Esses colaboradores da organização podem usar os certificados de autenticação para ter acesso aos repositórios da organização.
Os certificados adicionados à sua empresa concedem acesso a todas as organizações pertencentes à sua conta corporativa. Para saber mais, confira Aplicando políticas para configurações de segurança na sua empresa.
Você pode exigir que os integrantes usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desabilitado no seu repositório.
Opcionalmente, você pode exigir que os membros e colaboradores externos utilizem certificados SSH para acessar recursos da organização. Para saber mais, confira Gerenciar autoridades certificadas de SSH da organização e Aplicando políticas para configurações de segurança na sua empresa.
Por exemplo, você pode desenvolver um sistema interno que emite um novo certificado para seus desenvolvedores todas as manhãs. Cada desenvolvedor pode usar o certificado diário para trabalhar nos repositórios da organização no GitHub Enterprise Cloud. No final do dia, o certificado pode expirar automaticamente, protegendo seus repositórios caso o certificado seja adulterado mais tarde.
Os membros da organização podem usar seus certificados para autenticação mesmo que você tenha imposto o logon único (SSO) do SAML, sem a necessidade de autorizar os certificados de autenticação.
A menos que você exija certificados SSH, os membros da organização e colaboradores externos podem continuar usando outros meios de autenticação para acessar os recursos da sua organização no Git, como o nome de usuário e a senha, personal access tokens e suas próprias chaves SSH.
Os membros não podem usar o certificado para acessar bifurcações dos repositórios da organização, a menos que a empresa tenha permitido que as ACs (Autoridades de Certificação) SSH acessem repositórios de propriedade do usuário. Para saber mais, confira Sobre autoridades certificadas de SSH.
Sobre os URLs do SSH com certificados SSH
Se sua organização exigir certificados SSH, para evitar erros de autenticação, os membros da organização e os colaboradores externos deverão usar um URL especial que inclua o ID da organização quando executar operações do Git por meio do SSH. Este URL especial permite que o cliente e servidor negociem mais facilmente qual chave no computador do integrante deverá ser usada para autenticação. Se um membro usar a URL normal, que começa com git@github.com
, o cliente SSH poderá oferecer a chave errada, causando uma falha na operação.
Qualquer pessoa com acesso de leitura no repositório pode encontrar essa URL selecionando o menu suspenso Código na página principal do repositório e clicando em Usar o SSH.
Se a sua organização não exige certificados SSH, os integrantes podem continuar usando suas próprias chaves SSH ou outros meios de autenticação. Nesse caso, a URL especial ou a URL normal, que começa com git@github.com
, funcionará.
Emitindo certificados
A cada emissão de certificado, você deve incluir uma extensão especificando para qual usuário do GitHub Enterprise Cloud é o certificado. Você pode referenciar o usuário usando seu identificador de login ou sua ID de usuário. Por exemplo, você pode usar o comando ssh-keygen
do OpenSSH, substituindo KEY-IDENTITY pela identidade da sua chave e USERNAME por um nome de usuário ou ID de usuário do GitHub Enterprise Cloud. O certificado que você gerar será autorizado a agir em nome desse usuário para qualquer um dos recursos da sua organização. Certifique-se de validar a identidade do usuário antes de emitir o certificado.
Note
Você precisa fazer a atualização para o OpenSSH 7.6 ou posterior para usar esses comandos.
Para usar o login
para identificar o usuário, use extension:login
:
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME ./user-key.pub
Warning
Depois que um certificado for assinado e emitido, o certificado não poderá ser revogado.
Para ACs carregadasantes de 27 de março de 2024, você deve usar o sinalizador -V
para configurar um tempo de vida de menos de 366 sias para o certificado. Para ACs carregadas antes desta data, o sinalizador -V
é opcional e você pode criar certificados que são irrevogáveis e válidos para sempre.
Para emitir um certificado para alguém que utiliza SSH para acessar vários produtos de GitHub, você pode incluir duas extensões de login para especificar o nome de usuário para cada produto. Por exemplo, o comando a seguir emitiria um certificado USERNAME-1 na conta do usuário do GitHub Enterprise Cloud e USERNAME-2 na conta do usuário do GitHub Enterprise Server em HOSTNAME.
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME-1 extension:login@HOSTNAME=USERNAME-2 ./user-key.pub
Você pode restringir os endereços IP dos quais um membro da organização pode acessar os recursos da sua organização usando uma extensão source-address
. A extensão aceita um endereço IP específico ou um intervalo de endereços IP usando a notação CIDR. É possível especificar vários endereços ou intervalos separando os valores com vírgulas. Para obter mais informações, confira Roteamento entre domínios sem classes na Wikipédia.
ssh-keygen -s ./ca-key -V '+1d' -I KEY-IDENTITY -O extension:login@github.com=USERNAME -O source-address=COMMA-SEPARATED-LIST-OF-IP-ADDRESSES-OR-RANGES ./user-key.pub