Adding a new SSH key to your GitHub account
To configure your account on GitHub.com to use your new (or existing) SSH key, you’ll also need to add the key to your account.
Platform navigation
Tool navigation
In this article
About addition of SSH keys to your account
You can access and write data in repositories on GitHub.com using SSH (Secure Shell Protocol). When you connect via SSH, you authenticate using a private key file on your local machine. For more information, see «About SSH.»
You can also use SSH to sign commits and tags. For more information about commit signing, see «About commit signature verification.»
After you generate an SSH key pair, you must add the public key to GitHub.com to enable SSH access for your account.
Prerequisites
Before adding a new SSH key to your account on GitHub.com, complete the following steps.
- Check for existing SSH keys. For more information, see «Checking for existing SSH keys.»
- Generate a new SSH key and add it to your machine’s SSH agent. For more information, see «Generating a new SSH key and adding it to the ssh-agent.»
Adding a new SSH key to your account
You can add an SSH key and use it for authentication, or commit signing, or both. If you want to use the same SSH key for both authentication and signing, you need to upload it twice.
After adding a new SSH authentication key to your account on GitHub.com, you can reconfigure any local repositories to use SSH. For more information, see «Managing remote repositories.»
Note: GitHub improved security by dropping older, insecure key types on March 15, 2022.
As of that date, DSA keys ( ssh-dss ) are no longer supported. You cannot add new DSA keys to your personal account on GitHub.com.
RSA keys ( ssh-rsa ) with a valid_after before November 2, 2021 may continue to use any signature algorithm. RSA keys generated after that date must use a SHA-2 signature algorithm. Some older clients may need to be upgraded in order to use SHA-2 signatures.
- Copy the SSH public key to your clipboard. If your SSH public key file has a different name than the example code, modify the filename to match your current setup. When copying your key, don’t add any newlines or whitespace.
$ pbcopy < ~/.ssh/id_ed25519.pub# Copies the contents of the id_ed25519.pub file to your clipboard Tip: If pbcopy isn’t working, you can locate the hidden .ssh folder, open the file in your favorite text editor, and copy it to your clipboard.
$ clip < ~/.ssh/id_ed25519.pub# Copies the contents of the id_ed25519.pub file to your clipboard - With Windows Subsystem for Linux (WSL), you can use clip.exe . Otherwise if clip isn’t working, you can locate the hidden .ssh folder, open the file in your favorite text editor, and copy it to your clipboard.
- On newer versions of Windows that use the Windows Terminal, or anywhere else that uses the PowerShell command line, you may receive a ParseError stating that The ‘<‘ operator is reserved for future use. In this case, the following alternative clip command should be used:
$ cat ~/.ssh/id_ed25519.pub | clip # Copies the contents of the id_ed25519.pub file to your clipboard $ cat ~/.ssh/id_ed25519.pub # Then select and copy the contents of the id_ed25519.pub file # displayed in the terminal to your clipboard Tip: Alternatively, you can locate the hidden .ssh folder, open the file in your favorite text editor, and copy it to your clipboard.
To learn more about GitHub CLI, see «About GitHub CLI.»
Before you can use the GitHub CLI to add an SSH key to your account, you must authenticate to the GitHub CLI. For more information, see gh auth login in the GitHub CLI documentation.
To add an SSH key to your GitHub account, use the ssh-key add subcommand, specifying your public key. For authentication keys, if you’re prompted to request additional scopes, follow the instructions in the command line.
gh ssh-key add KEY-FILE --type
To include a title for the new key, use the -t or —title flag.
gh ssh-key add KEY-FILE --title "personal laptop" If you generated your SSH key by following the instructions in «Generating a new SSH key and adding it to the ssh-agent», you can add the key to your account with this command.
gh ssh-key add ~/.ssh/id_ed25519.pub --type signing Further reading
Как создать ssh key github
На данный момент, один из самых популярных репозиториев для системы контроля версий GitHub, использует аутентификацию пользователей через открытые SSH-ключи. Это позволяет работать с сервисом без ввода логина и пароля, а также удобно производить контроль доступа к своему репозиторию.
Рассмотрим вариант создания и добавления SSH-ключей к своему GitHub аккаунту.
Подготовка
Для начала скачаем и установим клиент GitHub по ссылке https://git-scm.com
Теперь попробуем клонировать существующий репозиторий c GitHub для понимания одной из самых популярных ошибок, возникающих при начале работы с Git. Для этого откроем установленную консоль Git Bash, нажав правую кнопку мыши и выбрав пункт Git Bash Here.
Не забудем предварительно перейти в подготовленный каталог для удобства экспериментов с Git. В моем случае это будет каталог C:/domains/test.
Введем в консоли Git Bash команду клонирования удаленного репозитория с GitHub:
git clone git@github.com:sbogdanov108/template.gitИменно здесь мы столкнемся с фатальной ошибкой скачивания из-за ограничения доступа к GitHub:
Cloning into 'template'. The authenticity of host 'github.com (192.30.252.130)' can't be established. RSA key fingerprint is … Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'github.com,192.30.252.130' (RSA) to the list of known hosts. Permission denied (publickey). fatal: Could not read from remote repository. Please make sure you have the correct access rights and the repository exists. Решим эту проблему созданием публичного ключа для GitHub.
Генерация SSH-ключей для GitHub
- Для начала создания ключей введем следующую команду в Git консоль:
ssh-keygen -t rsa -b 4096 -C "ВАШ_EMAIL@mail.com"Enter passphrase (empty for no passphrase): Enter same passphrase again:Итак, мы сгенерировали SSH-ключи и теперь перейдем к следующему этапу.
Добавление созданных SSH-ключей в SSH-агент
- Сперва убедимся, что SSH-агент включен.
Введем в консоли Git команду:
eval "$(ssh-agent -s)"Это запустит работу агента в фоновом режиме. После ввода этой команды, в консоли должно появиться id запущенного процесса.
Примерно так:
Agent pid 4036ssh-add ~/.ssh/id_rsaКак результат, должно появиться в консоли следующее:
Identity added: /c/Users/ВАШЕ_ИМЯ/.ssh/id_rsa (/c/Users/ВАШЕ_ИМЯ/.ssh/id_rsa)Следующим шагом будет добавление приватного ключа в GitHub аккаунт.
Добавление нового SSH-ключа в GitHub аккаунт
- Первым делом скопируем созданный SSH-ключ в буфер обмена командой:
clip < ~/.ssh/id_rsa.pub
Проверим, что все нами сделано верно, опять введя в консоль Git команду клонирования удаленного репозитория:
git clone git@github.com:sbogdanov108/template.gitЧерез несколько секунд получим на своем локальном компьютере полную копию нужного нам репозитория.
Таким образом единожды проведя операцию создания публичного SSH-ключа и внеся его в свой профиль на GitHub, мы обеспечим себе удобную и безопасную работу с удаленным репозиторием.
Создание нового ключа SSH и его добавление в ssh-agent
После проверки наличия существующих ключей SSH можно создать ключ SSH для проверки подлинности, а затем добавить его к агенту SSH.
Platform navigation
В этой статье
About SSH key passphrases
You can access and write data in repositories on GitHub.com using SSH (Secure Shell Protocol). When you connect via SSH, you authenticate using a private key file on your local machine. For more information, see "About SSH."
When you generate an SSH key, you can add a passphrase to further secure the key. Whenever you use the key, you must enter the passphrase. If your key has a passphrase and you don't want to enter the passphrase every time you use the key, you can add your key to the SSH agent. The SSH agent manages your SSH keys and remembers your passphrase.
If you don't already have an SSH key, you must generate a new SSH key to use for authentication. If you're unsure whether you already have an SSH key, you can check for existing keys. For more information, see "Checking for existing SSH keys."
If you want to use a hardware security key to authenticate to GitHub, you must generate a new SSH key for your hardware security key. You must connect your hardware security key to your computer when you authenticate with the key pair. For more information, see the OpenSSH 8.2 release notes.
Generating a new SSH key
You can generate a new SSH key on your local machine. After you generate the key, you can add the public key to your account on GitHub.com to enable authentication for Git operations over SSH.
Note: GitHub improved security by dropping older, insecure key types on March 15, 2022.
As of that date, DSA keys ( ssh-dss ) are no longer supported. You cannot add new DSA keys to your personal account on GitHub.com.
RSA keys ( ssh-rsa ) with a valid_after before November 2, 2021 may continue to use any signature algorithm. RSA keys generated after that date must use a SHA-2 signature algorithm. Some older clients may need to be upgraded in order to use SHA-2 signatures.
- Open Terminal Terminal Git Bash .
- Paste the text below, replacing the email used in the example with your GitHub email address.
ssh-keygen -t ed25519 -C "your_email@example.com" Note: If you are using a legacy system that doesn't support the Ed25519 algorithm, use:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
This creates a new SSH key, using the provided email as a label.
> Generating public/private ALGORITHM key pair. When you're prompted to "Enter a file in which to save the key", you can press Enter to accept the default file location. Please note that if you created SSH keys previously, ssh-keygen may ask you to rewrite another key, in which case we recommend creating a custom-named SSH key. To do so, type the default file location and replace id_ALGORITHM with your custom key name.
> Enter a file in which to save the key (/Users/YOU/.ssh/id_ALGORITHM): [Press enter] > Enter file in which to save the key (/c/Users/YOU/.ssh/id_ALGORITHM):[Press enter] > Enter a file in which to save the key (/home/YOU/.ssh/id_ALGORITHM):[Press enter] > Enter passphrase (empty for no passphrase): [Type a passphrase] > Enter same passphrase again: [Type passphrase again] Adding your SSH key to the ssh-agent
Before adding a new SSH key to the ssh-agent to manage your keys, you should have checked for existing SSH keys and generated a new SSH key. When adding your SSH key to the agent, use the default macOS ssh-add command, and not an application installed by macports, homebrew, or some other external source.
- Start the ssh-agent in the background.
$ eval "$(ssh-agent -s)" > Agent pid 59566 -
First, check to see if your ~/.ssh/config file exists in the default location.
$ open ~/.ssh/config > The file /Users/YOU/.ssh/config does not exist. touch ~/.ssh/config Host github.com AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_ed25519
Host github.com AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_ed25519 - If you chose not to add a passphrase to your key, you should omit the UseKeychain line.
- If you see a Bad configuration option: usekeychain error, add an additional line to the configuration's' Host *.github.com section.
Host github.com IgnoreUnknown UseKeychain
Host github.com IgnoreUnknown UseKeychain ssh-add --apple-use-keychain ~/.ssh/id_ed25519 Note: The --apple-use-keychain option stores the passphrase in your keychain for you when you add an SSH key to the ssh-agent. If you chose not to add a passphrase to your key, run the command without the --apple-use-keychain option. The --apple-use-keychain option is in Apple's standard version of ssh-add . In macOS versions prior to Monterey (12.0), the --apple-use-keychain and --apple-load-keychain flags used the syntax -K and -A , respectively. If you don't have Apple's standard version of ssh-add installed, you may receive an error. For more information, see "Error: ssh-add: illegal option -- apple-use-keychain." If you continue to be prompted for your passphrase, you may need to add the command to your ~/.zshrc file (or your ~/.bashrc file for bash).
If you have GitHub Desktop installed, you can use it to clone repositories and not deal with SSH keys.
-
In a new admin elevated PowerShell window, ensure the ssh-agent is running. You can use the "Auto-launching the ssh-agent" instructions in "Working with SSH key passphrases", or start it manually:
# start the ssh-agent in the background Get-Service -Name ssh-agent | Set-Service -StartupType Manual Start-Service ssh-agent ssh-add c:/Users/YOU/.ssh/id_ed25519 - Start the ssh-agent in the background.
$ eval "$(ssh-agent -s)" > Agent pid 59566 ssh-add ~/.ssh/id_ed25519 Generating a new SSH key for a hardware security key
If you are using macOS or Linux, you may need to update your SSH client or install a new SSH client prior to generating a new SSH key. For more information, see "Error: Unknown key type."
- Insert your hardware security key into your computer.
- Open Terminal Terminal Git Bash .
- Paste the text below, replacing the email address in the example with the email address associated with your account on GitHub.
ssh-keygen -t ed25519-sk -C "your_email@example.com" ssh-keygen -t ed25519-sk -C "your_email@example.com" ssh-keygen -t ed25519-sk -C "your_email@example.com" Note: If the command fails and you receive the error invalid format or feature not supported, you may be using a hardware security key that does not support the Ed25519 algorithm. Enter the following command instead.
ssh-keygen -t ecdsa-sk -C "your_email@example.com"
> Enter a file in which to save the key (/Users/YOU/.ssh/id_ed25519_sk): [Press enter] > Enter a file in which to save the key (c:\Users\YOU\.ssh\id_ed25519_sk):[Press enter] > Enter a file in which to save the key (/home/YOU/.ssh/id_ed25519_sk):[Press enter] > Enter passphrase (empty for no passphrase): [Type a passphrase] > Enter same passphrase again: [Type passphrase again] Управление ключами развертывания
Изучите несколько способов управлять ключами SSH на серверах при автоматизации сценариев развертывания и узнайте, какой из них вам лучше подходит.
В этой статье
Ключами SSH можно управлять на серверах при автоматизации сценариев развертывания с помощью перенаправления агента SSH, HTTPS с токенами OAuth, развертывания ключей или пользователей компьютера.
Перенаправление агента SSH
Во многих случаях, особенно, в начале проекта, перенаправление агента SSH является самым быстрым и простым способом использования. При перенаправлении агента используются те же ключи SSH, что и на локальном компьютере разработки.
Преимущества пересылки агента SSH
- Создавать или отслеживать новые ключи не нужно.
- Управление ключами отсутствует; пользователи имеют те же разрешения на сервере, что и на локальном компьютере.
- Ключи не хранятся на сервере, поэтому, если сервер скомпрометирован, вам не нужно искать и удалять скомпрометированные ключи.
Недостатки пересылки агента SSH
- Пользователи должны выполнять развертывание по протоколу SSH; Невозможно использовать автоматизированные процессы развертывания.
- Перенаправление агента SSH может быть сложной задачей для пользователей Windows.
Настройка пересылки агента SSH
- Включите перенаправление агента локально. Дополнительные сведения см. в нашем руководстве по перенаправлению агента SSH.
- Задайте сценарии развертывания для перенаправления агента. Например, в сценарии bash включение перенаправления агента будет выглядеть примерно так: ssh -A serverA 'bash -s' < deploy.sh
Клонирование HTTPS с помощью токенов OAuth
Если не требуется использовать ключи SSH, можно использовать HTTPS с токенами OAuth.
Преимущества клонирования HTTPS с помощью маркеров OAuth
- Любой пользователь с доступом к серверу может развернуть репозиторий.
- Пользователям не нужно изменять локальные параметры SSH.
- Несколько токенов (по одному для каждого пользователя) не требуется; достаточно одного токена на сервер.
- Токен можно отозвать в любое время, превратив его в одноразовый пароль.
Недостатки клонирования HTTPS с маркерами OAuth
- Необходимо убедиться, что токен настроен с правильными областями доступа.
- По сути токены являются паролями и должны защищаться так же.
Настройка клонирования HTTPS с помощью токенов OAuth
Ключи развертывания
Вы можете запустить проекты из репозитория на GitHub.com на сервер с помощью ключ развертывания, который является ключом SSH, который предоставляет доступ к одному репозиторию. GitHub присоединяет открытую часть ключа непосредственно к репозиторию, а не к личной учетной записи. Закрытая часть ключа при этом остается на сервере. Дополнительные сведения см. в разделе Доставка развертываний.
Развертывание ключей с доступом на запись может запускать те же действия, что и член организации с правами администратора или участник совместной работы в личном репозитории. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Роли репозиториев для организации](/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/permission-levels-for-a-personal-account-repository)".
Преимущества ключ развертывания
- Любой пользователь с доступом к репозиторию и серверу может развернуть проект.
- Пользователям не нужно изменять локальные параметры SSH.
- Ключи развертывания по умолчанию доступны только для чтения, но вы можете предоставить им доступ для записи при добавлении их в репозиторий.
Минусы ключ развертывания
- Ключи развертывания предоставляет доступ только к одному репозиторию. Более сложные проекты могут содержать множество репозиториев для извлечения на тот же сервер.
- Ключи развертывания, как правило, не защищены парольной фразой, что упрощает доступ к ключу, если сервер скомпрометирован.
- Если пользователь, создавший ключ развертывания, удаляется из репозитория, ключ развертывания по-прежнему будет активным, так как он не привязан к конкретному пользователю, а не к репозиторию.
Настройка ключ развертывания
- Запустите ssh-keygen процедуру на сервере и запомните путь сохранения созданной пары ключей открытого и закрытого ключей RSA.
- На GitHub.comперейдите на главную страницу репозитория.
- Под именем репозитория щелкните
Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню
и щелкните Параметры.
Для создания ключ развертывания также можно использовать REST API. Дополнительные сведения см. в разделе Конечные точки REST API для ключ развертывания.
Использование нескольких репозиториев на одном сервере
При использовании нескольких репозиториев на одном сервере необходимо создать выделенную пару ключей для каждого из них. Невозможно повторно использовать ключ развертывания для нескольких репозиториев.
В файле конфигурации сервера SSH (обычно ~/.ssh/config ) добавьте запись псевдонима для каждого репозитория. Например:
Host github.com-repo-0 Hostname github.com IdentityFile=/home/user/.ssh/repo-0_deploy_key Host github.com-repo-1 Hostname github.com IdentityFile=/home/user/.ssh/repo-1_deploy_key - Host github.com-repo-0 — псевдоним репозитория.
- Hostname github.com — настраивает имя узла для использования с псевдонимом.
- IdentityFile=/home/user/.ssh/repo-0_deploy_key — назначает псевдониму закрытый ключ.
Затем можно использовать псевдоним имени узла для взаимодействия с репозиторием с помощью SSH, который будет использовать уникальный ключ развертывания, назначенный данному псевдониму. Например:
git clone git@github.com-repo-1:OWNER/repo-1.git GitHub App маркеры доступа к установке
Если на сервере требуется доступ к репозиториям в одной или нескольких организациях, можно использовать GitHub App для определения необходимого доступа, а затем создать маркеры доступа с жестко область, установить маркеры доступа из этого GitHub App. Маркеры доступа к установке можно область на один или несколько репозиториев и иметь точные разрешения. Например, можно создать маркер с доступом только для чтения к содержимому репозитория.
Так как GitHub Apps — это субъект первого класса для GitHub, маркеры доступа к установке отделяются от любого пользователя GitHub, что делает их сопоставимыми с "маркерами службы". Кроме того, маркеры доступа к установке имеют специальные ограничения скорости, которые масштабируются с размером организаций, над которыми они действуют. Дополнительные сведения см. в разделе Ограничения скорости для GitHub Apps.
Преимущества маркеров доступа к установке
- Строго ограниченные маркеры с четко определенными наборами разрешений и сроком действия (1 час или меньше, если отозван вручную с помощью API).
- Выделенные ограничения скорости растут вместе с вашей организацией.
- Отключаются от удостоверений пользователей GitHub данных, поэтому они не используют лицензированные места.
- Пароль никогда не предоставлялся, поэтому невозможно выполнить прямой вход в систему.
Недостатки маркеров доступа к установке
- Для создания GitHub Appтребуется дополнительная настройка.
- Срок действия маркеров доступа к установке истекает через 1 час и поэтому необходимо повторно создать по запросу с помощью кода.
Настройка маркеров доступа к установке
- Определите, должны ли данные GitHub App быть общедоступными или частными. Если данные GitHub App будут действовать только в репозиториях в вашей организации, скорее всего, вы хотите, чтобы он был закрытым.
- Определите разрешения, необходимые для GitHub App, например доступ только для чтения к содержимому репозитория.
- Создайте данные GitHub App на странице параметров вашей организации. Дополнительные сведения см. в статье "Создание данных GitHub App".
- Запишите данные GitHub App id .
- Создайте и скачайте закрытый ключ GitHub Appи сохраните его безопасно. Дополнительные сведения см. в статье Создание закрытого ключа.
- Установите GitHub App в репозиториях, с помощью которых он должен действовать, при необходимости можно установить GitHub App во всех репозиториях в вашей организации.
- Определите installation_id связь между данными GitHub App и репозиториями организации, к которым он может получить доступ. Каждая пара данных GitHub App и пара организации имеют не более одного installation_id . Можно определить этот installation_id с помощью получения установки организации для приложения, прошедшего проверку подлинности. Для этого требуется проверка подлинности в виде GitHub App с помощью JWT, дополнительные сведения см. в статье "Проверка подлинности как GitHub App".
- Создайте маркер доступа к установке с помощью соответствующей конечной точки REST API, создайте маркер доступа установки для приложения. Для этого требуется проверка подлинности в виде GitHub App с помощью JWT, дополнительные сведения см. в разделе "Проверка подлинности как GitHub App" и проверка подлинности в качестве установки.
- Используйте этот маркер доступа к установке для взаимодействия с репозиториями через ИНТЕРФЕЙСы REST или GraphQL API или через клиент Git.
Пользователи компьютеров
Если серверу требуется доступ к нескольким репозиториям, можно создать учетную запись на GitHub.com и подключить ключ SSH, который будет использоваться исключительно для автоматизации. Так как эта учетная запись на GitHub.com не будет использоваться человеком, это называется компьютерным пользователем__. Вы можете добавить пользователя компьютера в качестве участника совместной работы в личном репозитории (предоставление права на чтение и запись), в качестве внешнего участника совместной работы в репозитории организации (предоставление права на чтение, записи или администратора) или для команды с доступом к репозиториям, которые необходимо автоматизировать (предоставление прав команде).
Учетные записи, зарегистрированные "ботами" или другими автоматизированными методами, запрещены.
Это означает, что невозможно автоматизировать создание учетных записей. Но если требуется создать одного пользователя компьютера для автоматизации таких задач, как сценарии развертывания в проекте или организации, это отлично.
Преимущества пользователей компьютера
- Любой пользователь с доступом к репозиторию и серверу может развернуть проект.
- Пользователям не нужно изменять их локальные параметры SSH.
- Несколько ключей не требуются; одного на сервер достаточно.
Недостатки пользователей компьютера
- Ограничить доступ пользователей компьютеров правами только для чтения могут только организации. Личные репозитории всегда предоставляют участникам совместной работы доступ на чтение и запись.
- Ключи пользователя компьютера, такие как ключи развертывания, как правило, не защищены парольной фразой.
Настройка пользователей компьютера
- Запустите ssh-keygen процедуру на сервере и подключите открытый ключ к учетной записи пользователя компьютера.
- Предоставьте учетной записи пользователя компьютера доступ к репозиториям, которые требуется автоматизировать. Это можно сделать, добавив учетную запись в качестве участника совместной работы, в качестве внешнего участника совместной работы или для команды в организации.