Remover a frase secreta do arquivo de chave
Se você tiver uma máquina Linux com OpenSSL instalado, será possível remover a frase secreta.
-
Renomeie seu arquivo de chave original.
mv yourdomain.key yourdomain.key.orig -
Gere uma nova chave SSH sem frase secreta.
openssl rsa -in yourdomain.key.orig -out yourdomain.key
A senha da chave será solicitada quando você executar esse comando.
Para obter mais informações sobre o OpenSSL, confira a documentação do OpenSSL.
Converter a chave ou o certificado TLS em formato PEM
Se você tiver o OpenSSL instalado, converta sua chave no formato PEM usando o comando openssl. Por exemplo, você pode converter uma chave do formato DER para o formato PEM.
openssl rsa -in yourdomain.der -inform DER -out yourdomain.key -outform PEM
Se não tiver, você pode usar a ferramenta SSL Converter para converter seu certificado em formato PEM. Para obter mais informações, confira a documentação da ferramenta SSL Converter.
Instalação inativa após carregamento de chave
Se sua instância do GitHub Enterprise Server não responder depois de carregar uma chave TLS, entre em contato com o GitHub Enterprise Suporte com detalhes específicos, incluindo uma cópia do certificado TLS. Verifique se sua chave privada não está incluída.
Erros de validade de certificado
Se não for possível verificar a validade de um certificado TLS, clientes como navegadores da Web e Gits de linha de comando exibirão uma mensagem de erro. Isso costuma acontecer com certificados autoassinados e certificados de "raiz encadeada" emitidos a partir de um certificado raiz intermediário não reconhecido pelo cliente.
Se você estiver usando um certificado assinado por uma AC (autoridade de certificação), o arquivo de certificado para GitHub Enterprise Server o qual você carrega deve incluir uma cadeia de certificados com o certificado raiz dessa AC. Para criar esse arquivo, concatene toda a sua cadeia de certificados (ou "pacote de certificados") no final do seu certificado, garantindo que o certificado principal com o seu nome de host seja o primeiro. Na maioria dos sistemas, fazer isso é possível com um comando semelhante ao seguinte:
cat yourdomain.com.crt bundle-certificates.crt > yourdomain.combined.crt
Você deve conseguir baixar um pacote de certificados (por exemplo, bundle-certificates.crt) da autoridade de certificação ou do fornecedor de TLS.
Instalar certificados raiz de autoridade de certificação (CA) autoassinada ou não confiável
Se o seu GitHub Enterprise Server equipamento se comunicar com outras máquinas na sua rede que usam um certificado autoassinado ou não confiável, será necessário importar o certificado raiz da AC emissora para o repositório de certificados do sistema a fim de acessar esses sistemas por HTTPS. Se quiser usar um certificado assinado por uma autoridade de certificação interna, você deve instalar o certificado raiz e todos os certificados intermediários.
-
Obtenha o certificado raiz da autoridade de certificação local e verifique se ele está no formato PEM.
-
Copie o arquivo para o appliance GitHub Enterprise Server via SSH como o usuário "admin" na porta 122.
scp -P 122 rootCA.crt admin@HOSTNAME:/home/admin -
Conecte-se ao GitHub Enterprise Server shell de administração via SSH como o usuário "admin", pela porta 122.
ssh -p 122 admin@HOSTNAME -
Importe o certificado na loja de certificados do sistema.
ghe-ssl-ca-certificate-install -c rootCA.crt -
Para aplicar a configuração, execute o comando a seguir.
Observação
Durante uma execução de configuração, os serviços do sua instância do GitHub Enterprise Server podem ser reiniciados, o que pode causar um breve tempo de inatividade para os usuários.
Shell ghe-config-apply
ghe-config-apply -
Aguarde a conclusão da execução de suas configurações.
Atualizar um certificado TLS
Você pode gerar um novo certificado autoassinado ou atualizar um certificado TLS existente para sua instância do GitHub Enterprise Server com o utilitário de linha de comando ghe-ssl-certificate-setup. Para saber mais, confira Utilitários de linha de comando.
Solucionar problemas com comunicações de servidor após atualizar um certificado TLS
Caso encontre problemas com a comunicação ou outros problemas no servidor após atualizar um certificado, pode haver arquivos ausentes ou links simbólicos na instalação. Verifique a saída do blog para ver a mensagem a seguir.
certificate verify failed (unable to get issuer certificate)
Se você vir essa mensagem, é provável que haja certificados ausentes ou configurados incorretamente. Isso pode impedir que os serviços de aplicativo se comuniquem entre si.
Para corrigir esse problema:
-
Faça backup do seu diretório de certificados TLS atual.
-
Para atualizar certificados e conteúdo que podem estar faltando no diretório de
/etc/ssl/certs, execute o comando a seguir.Shell sudo update-ca-certificates --verbose --fresh
sudo update-ca-certificates --verbose --fresh
Se você ainda estiver tendo problemas, entre em contato Suporte do GitHub Enterprise.