組織のSSH証明書認証局を管理する

Organizationから、SSH認証局を追加または削除することができます。

この機能を使用できるユーザーについて

Organization owners can manage an organization's SSH certificate authorities (CA).

この記事で

SSH CAを組織に追加すると、メンバーはあなたが提供したSSH証明書を使用して、組織のリポジトリにアクセスできるようになります。 メンバーが organization のリソースにアクセスする際に SSH 証明書を使うよう要求できます。 詳細については、 AUTOTITLE を参照してください。

メモ

SSH 認証局を使うには、organization が GitHub Enterprise Cloud を使っている必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

各クライアント証明書を発行する際には、その証明書がどの GitHub ユーザー用かを示す拡張子を指定する必要があります。 詳しくは、「SSH認証局について」をご覧ください。

SSH認証局を追加する

Enterprise に SSH 証明書が必要な場合、Enterprise メンバーは SSH 経由の Git 操作に特別な URL を使用する必要があります。 詳しくは、「SSH認証局について」をご覧ください。

各証明機関は、GitHub 上の 1 つのアカウントにのみアップロードできます。 SSH 証明機関が organization または Enterprise アカウントに追加されている場合、同じ証明機関を GitHub の別の organization または Enterprise アカウントに追加することはできません。

1 つの証明機関を Enterprise に追加し、もう 1 つの証明機関を Enterprise 内の Organization に追加する場合は、いずれかの証明機関を使用して Organization のリポジトリにアクセスできます。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織をクリックして選択します。

  3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  4. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。

  5. [SSH 認証局] の右側にある [新しい CA] をクリックします。

  6. "Key(キー)"の下で、公開SSHキーを貼り付けてください。

  7. [CA の追加] をクリックします。

  8. 必要に応じて、メンバーに SSH 証明書の使用を要求するには、 [SSH 証明書を要求する] を選択し、 [保存] をクリックします。

    メモ

    SSH 証明書を必要とすると、ユーザーは HTTPS 経由で、または未署名の SSH キーを使って organization のリポジトリにアクセスするための認証を、行うことができなくなります。SSH キーが外部 ID システムを介した認証を必要とする organization に対して認可されているかどうかには関係ありません。

    この要件は、認可された GitHub Apps (ユーザーからサーバーへのトークンを含む)、配置キー、または GitHub 機能 (GitHub Actions、Codespaces など) には適用されません。これらは、GitHub エコシステム内の信頼された環境です。

SSH認証局を削除する

組織から SSH CA を削除すると、 GitHub は、まだ期限切れになっていない証明書を含め、その CA によって署名された SSH 証明書をすぐに受け入れなくなります。 CA ローテーションのガイダンスについては、 SSH認証局について を参照してください。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織をクリックして選択します。

  3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  4. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。

  5. [SSH 認証局] で、削除する CA の右側にある [削除] をクリックします。

  6. 警告を読み、 [わかりました。この CA を削除してください] をクリックします。

SSH 証明機関のアップグレード

組織にアップロードされた CA 2024 年 3 月 27 日まで 期限切れでない証明書の使用が許可されます。 新しい CA に有効期限切れが必要になった理由の詳細については、「SSH認証局について」を参照してください。 既存の CA をアップグレードして、有効期限が切れていない証明書を発行できないようにすることができます。 最適なセキュリティを確保するために、期限切れでない証明書に依存していないことを検証したら、すべての CA をアップグレードすることを強くお勧めします。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織をクリックして選択します。

  3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  4. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。

  5. 「SSH 証明機関」で、アップグレードする CA の右側にある [アップグレード] をクリックします。

  6. 警告を読み取ったら、[アップグレード] をクリックします。

CA をアップグレードすると、その CA によって署名された有効期限が切れていない証明書は拒否されます。