Claude Code 企业网络配置：HTTPS_PROXY 代理、NODE_EXTRA_CA_CERTS 证书、mTLS 与防火墙白名单

Claude Code 企业网络配置：代理服务器、自定义 CA 证书、mTLS 认证与防火墙白名单

Claude Code 企业网络配置完整指南：代理服务器配置（HTTPS_PROXY/HTTP_PROXY/NO_PROXY 标准变量/不支持 SOCKS/Basic 认证/NTLM-Kerberos 通过 LLM Gateway/settings.json 持久化）、自定义 CA 证书（NODE_EXTRA_CA_CERTS/多 CA 合并 PEM/HTTPS 拦截代理场景）、mTLS 客户端证书（CLAUDE_CODE_CLIENT_CERT/KEY/PASSPHRASE/企业 managed-settings.json 统一部署）、防火墙白名单三大必需 URL（api.anthropic.com/claude.ai/platform.claude.com）及安装和 OTel 额外需求，以及 Docker/GitHub Actions 容器化配置示例和验证命令。

2026/3/73分钟阅读ClaudeEagle

在企业网络环境中部署 Claude Code 时，需要处理代理服务器、自定义 CA 证书和客户端证书认证（mTLS）等配置。本文提供完整的企业网络配置参考。

本文所有环境变量均可配置在 settings.json 文件中持久化。

代理服务器配置

基本代理环境变量

Claude Code 遵循标准代理环境变量：

bash

# HTTPS 代理（推荐）
export HTTPS_PROXY=https://proxy.example.com:8080

# HTTP 代理（HTTPS 不可用时）
export HTTP_PROXY=http://proxy.example.com:8080

# 绕过代理的地址（空格分隔或逗号分隔均支持）
export NO_PROXY="localhost 192.168.1.1 example.com .example.com"
export NO_PROXY="localhost,192.168.1.1,example.com,.example.com"

# 绕过所有请求的代理
export NO_PROXY="*"

注意：Claude Code 不支持 SOCKS 代理。

Basic 认证代理

bash

export HTTPS_PROXY=http://username:password@proxy.example.com:8080

避免在脚本中硬编码密码，建议使用环境变量或安全凭证存储。

高级认证代理（NTLM、Kerberos）

Claude Code 原生不支持 NTLM/Kerberos 认证。如需使用，建议通过 LLM Gateway 服务中转（选择支持您的认证方式的 Gateway 产品）。

持久化代理配置

json

// settings.json — 所有会话自动生效
{
  "env": {
    "HTTPS_PROXY": "http://proxy.example.com:8080",
    "NO_PROXY": "localhost,127.0.0.1,.internal.example.com"
  }
}

自定义 CA 证书

企业环境通常使用内部 CA 签发的 HTTPS 证书（无论是否通过代理）。配置 Claude Code 信任自定义 CA：

bash

export NODE_EXTRA_CA_CERTS=/path/to/ca-cert.pem

在 settings.json 中持久化：

json

{
  "env": {
    "NODE_EXTRA_CA_CERTS": "/etc/ssl/certs/company-ca.pem"
  }
}

多个 CA 证书：将所有 CA 合并到一个 PEM 文件：

bash

cat root-ca.pem intermediate-ca.pem > combined-ca.pem
export NODE_EXTRA_CA_CERTS=/path/to/combined-ca.pem

结合代理使用（HTTPS 拦截代理场景）：

bash

export HTTPS_PROXY=http://proxy.example.com:8080
export NODE_EXTRA_CA_CERTS=/path/to/proxy-ca.pem

mTLS 客户端证书认证

部分企业要求客户端提供证书进行双向 TLS 认证：

bash

# 客户端证书
export CLAUDE_CODE_CLIENT_CERT=/path/to/client-cert.pem

# 客户端私钥
export CLAUDE_CODE_CLIENT_KEY=/path/to/client-key.pem

# 加密私钥的口令（可选）
export CLAUDE_CODE_CLIENT_KEY_PASSPHRASE="your-passphrase"

企业统一部署（managed-settings.json）：

json

{
  "env": {
    "CLAUDE_CODE_CLIENT_CERT": "/etc/ssl/client/cert.pem",
    "CLAUDE_CODE_CLIENT_KEY": "/etc/ssl/client/key.pem"
  }
}

防火墙白名单要求

Claude Code 需要访问以下 URL，确保在代理和防火墙规则中放行：

URL	用途
`api.anthropic.com`	Claude API 端点（模型请求）
`claude.ai`	claude.ai 账号认证
`platform.claude.com`	Anthropic Console 账号认证

安装时还需要：

storage.googleapis.com：下载 Claude Code 二进制文件（Native 安装）
registry.npmjs.org：npm 安装方式

OTel 监控还需要：

您的 OTLP Collector 或监控平台的地址

容器化/CI 环境配置

在 Docker 或 CI 系统中运行 Claude Code 时，通过环境变量传入配置：

dockerfile

# Dockerfile 示例
ENV HTTPS_PROXY=http://proxy.example.com:8080
ENV NODE_EXTRA_CA_CERTS=/etc/ssl/certs/company-ca.pem
ENV ANTHROPIC_API_KEY=${ANTHROPIC_API_KEY}

yaml

# GitHub Actions 示例
env:
  HTTPS_PROXY: ${{ secrets.CORPORATE_PROXY }}
  NODE_EXTRA_CA_CERTS: /etc/ssl/certs/company-ca.pem
  ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}

配置验证

bash

# 验证代理连通性
curl -x http://proxy.example.com:8080 -sI https://api.anthropic.com

# 验证 CA 证书（配置后）
NODE_EXTRA_CA_CERTS=/path/to/ca.pem curl -sI https://internal-api.example.com

# 运行内置诊断
claude doctor

原文：Enterprise network configuration - Claude Code Docs | 来源：Anthropic 官方文档

代理服务器配置#

基本代理环境变量#

Basic 认证代理#

高级认证代理（NTLM、Kerberos）#

持久化代理配置#

自定义 CA 证书#

mTLS 客户端证书认证#

防火墙白名单要求#

容器化/CI 环境配置#

配置验证#

相关文章推荐

代理服务器配置

基本代理环境变量

Basic 认证代理

高级认证代理（NTLM、Kerberos）

持久化代理配置

自定义 CA 证书

mTLS 客户端证书认证

防火墙白名单要求

容器化/CI 环境配置

配置验证