Gerenciar autoridades certificadas de SSH da organização

Você pode adicionar ou excluir autoridades certificadas de SSH da organização.

Quem pode usar esse recurso?

Organization owners can manage an organization's SSH certificate authorities (CA).

Neste artigo

Você pode permitir que os integrantes acessem os repositórios da organização com certificados SSH fornecidos por você, adicionando um CA SSH à organização. Você pode exigir que os membros usem certificados SSH para acessar os recursos da organização. Para obter mais informações, consulte Sobre autoridades certificadas de SSH.

Observação

Para usar autoridades de certificado SSH, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira Como configurar uma avaliação do GitHub Enterprise Cloud.

A cada emissão de certificado do cliente, você precisa incluir uma extensão que especifica o usuário do GitHub para quem o certificado se destina. Para saber mais, confira Sobre autoridades certificadas de SSH.

Adicionar uma autoridade certificada de SSH

Se você precisar de certificados SSH para sua empresa, os integrantes da empresa deverão usar um URL especial para operações do Git por meio do SSH. Para saber mais, confira Sobre autoridades certificadas de SSH.

Cada autoridade de certificação só pode ser carregada em uma única conta no GitHub. Se uma autoridade de certificação SSH foi adicionada a uma conta da organização ou da empresa, você não pode adicionar a mesma autoridade de certificação a outra conta da organização ou da empresa no GitHub.

Se você adicionar uma autoridade de certificação a uma empresa e outra autoridade de certificação a uma organização na empresa, qualquer autoridade de certificação poderá ser usada para acessar os repositórios da organização.

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. Selecione uma organização clicando nela.

  3. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  4. Na seção "Security" da barra lateral, clique em Authentication security.

  5. À direita de "Autoridades de Certificação SSH", clique em Nova AC.

  6. Em "Key," cole sua chave pública SSH.

  7. Clique em Adicionar AC.

  8. Opcionalmente, para exigir que os membros usem certificados SSH, selecione Exigir Certificados SSH e clique em Salvar.

    Observação

    Quando você exige certificados SSH, os usuários não poderão se autenticar para acessar os repositórios da organização por HTTPS ou com uma chave SSH não assinada, independentemente de a chave SSH estar autorizada para uma organização que requer autenticação por meio de um sistema de identidade externo.

    O requisito não se aplica a GitHub Apps autorizados (incluindo tokens do usuário para o servidor), chaves de implantação, ou a recursos do GitHub, como GitHub Actions e Codespaces, que são ambientes confiáveis no ecossistema do GitHub.

Excluir uma autoridade certificada de SSH

Excluir uma AC SSH de sua organização imediatamente impede GitHub de aceitar certificados SSH assinados por essa AC, incluindo certificados que ainda não expiraram. Para obter diretrizes de rotação de CA, consulte Sobre autoridades certificadas de SSH.

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. Selecione uma organização clicando nela.

  3. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  4. Na seção "Security" da barra lateral, clique em Authentication security.

  5. Em "Autoridades de Certificado SSH", à direita da AC que deseja excluir, clique em Excluir.

  6. Leia o aviso e clique em Entendi. Excluir esta AC.

Atualizando uma autoridade de certificação SSH

As CAs carregadas em sua organização antes de 27 de março de 2024,, permitem o uso de certificados que não expiram. Para saber mais sobre por que agora são exigidas expirações para novas ACs, confira Sobre autoridades certificadas de SSH. Você pode atualizar uma AC existente para impedir que ela emita certificados que não expiram. Para garantir o máximo de segurança, é altamente recomendável atualizar todas as suas ACs depois de validar que você não depende de certificados que não expiram.

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. Selecione uma organização clicando nela.

  3. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  4. Na seção "Security" da barra lateral, clique em Authentication security.

  5. Em "Autoridades de certificação SSH", à direita da AC que deseja atualizar, clique em Atualizar.

  6. Leia o aviso e clique em Atualizar.

Depois de atualizar a AC, os certificados assinados por aquela AC que não expiram serão rejeitados.