Claude Code 深度学习手册

主题

企业网络配置

通过环境变量配置代理、自定义 CA 证书与 mTLS,让 Claude Code 适配企业网络。

是什么

Claude Code 支持企业网络与安全配置,包括将流量经由企业代理服务器转发、信任自定义证书颁发机构(CA),以及使用双向 TLS(mTLS)客户端证书做身份认证以增强安全性。

这些配置均通过环境变量设置,且本页所有环境变量也都可以在 settings.json 中配置。

怎么工作

  • 代理:Claude Code 遵循标准代理环境变量 HTTPS_PROXY、HTTP_PROXY,并用 NO_PROXY 指定绕过代理的地址。不支持 SOCKS 代理。
  • 代理基础认证:在代理 URL 中内联用户名/密码即可;对 NTLM、Kerberos 等高级认证,建议改用支持该认证方式的 LLM Gateway 服务。
  • CA 证书库:默认同时信任随 Claude Code 捆绑的 Mozilla CA 证书和操作系统证书库(默认 bundled,system)。CrowdStrike Falcon、Zscaler 等 TLS 检查代理只要把根证书装进 OS 信任库即可免配置工作。
  • 用 CLAUDE_CODE_CERT_STORE 切换证书来源(bundled / system / 二者组合)。
  • 自定义 CA:用 NODE_EXTRA_CA_CERTS 指向你的 CA 证书文件,让 Claude Code 直接信任它。
  • mTLS:用 CLAUDE_CODE_CLIENT_CERT、CLAUDE_CODE_CLIENT_KEY(及可选 CLAUDE_CODE_CLIENT_KEY_PASSPHRASE)提供客户端证书与私钥。
  • 网络放行:在代理与防火墙规则中按需放行 Claude Code 所需的一组 URL,容器化或受限网络尤其要注意。

怎么配置 / 用法

代理:

bash
export HTTPS_PROXY=https://proxy.example.com:8080
export HTTP_PROXY=http://proxy.example.com:8080
export NO_PROXY="localhost 192.168.1.1 example.com .example.com"  # 空格或逗号分隔
export NO_PROXY="*"   # 所有请求都绕过代理

代理基础认证(避免在脚本里硬编码密码):

bash
export HTTPS_PROXY=http://username:password@proxy.example.com:8080

CA 证书库(默认 bundled,system):

bash
export CLAUDE_CODE_CERT_STORE=bundled   # 仅信任捆绑的 Mozilla CA
export CLAUDE_CODE_CERT_STORE=system    # 仅信任 OS 证书库

自定义 CA 证书:

bash
export NODE_EXTRA_CA_CERTS=/path/to/ca-cert.pem

mTLS 客户端证书认证:

bash
export CLAUDE_CODE_CLIENT_CERT=/path/to/client-cert.pem
export CLAUDE_CODE_CLIENT_KEY=/path/to/client-key.pem
export CLAUDE_CODE_CLIENT_KEY_PASSPHRASE="your-passphrase"  # 可选

什么时候用

  • 企业流量必须经由公司代理服务器转发时。
  • 公司使用自定义 CA 或 TLS 检查代理(如 CrowdStrike Falcon、Zscaler),需要信任内部根证书时。
  • 环境要求客户端证书(mTLS)做身份认证时。
  • 在容器化或受限网络中部署,需要在防火墙/代理上放行必要域名时。

限制 / 坑

  • 不支持 SOCKS 代理。
  • NTLM、Kerberos 等高级代理认证无法直接配置,需借助支持该认证的 LLM Gateway 服务。
  • CLAUDE_CODE_CERT_STORE 没有专属的 settings.json schema key,只能通过 ~/.claude/settings.json 的 env 块或进程环境变量设置。

硬事实速查(11 条)

  • 代理变量:HTTPS_PROXY(推荐)、HTTP_PROXY、NO_PROXY;NO_PROXY 支持空格或逗号分隔,* 表示全部绕过。
  • 代理基础认证:把 username:password 内联进代理 URL;勿在脚本中硬编码密码。
  • CLAUDE_CODE_CERT_STORE 取逗号分隔列表,可选值 bundled(捆绑 Mozilla CA)与 system(OS 信任库),默认 bundled,system。
  • NODE_EXTRA_CA_CERTS 指向自定义 CA 证书文件(如 .pem)。
  • mTLS 三件套:CLAUDE_CODE_CLIENT_CERT、CLAUDE_CODE_CLIENT_KEY、可选 CLAUDE_CODE_CLIENT_KEY_PASSPHRASE。
  • 默认同时信任捆绑 Mozilla CA 与 OS 证书库,TLS 检查代理把根证书装进 OS 信任库即可免配置。
  • 必放行域名:api.anthropic.com(Claude API)、claude.ai(claude.ai 登录)、platform.claude.com(Console 登录)。
  • 其他放行:downloads.claude.ai(插件/安装器/自动更新)、storage.googleapis.com(旧版安装器)、bridge.claudeusercontent.com(Claude in Chrome 桥)、raw.githubusercontent.com(更新日志、插件市场)。
  • 本页所有环境变量也都可在 settings.json 中配置。
  • 使用 Bedrock/Vertex/Foundry 时模型流量走对应供应商域名;但 WebFetch 仍会调 api.anthropic.com 做域名安全检查,除非置 skipWebFetchPreflight: true。
  • Claude Code 默认还会发送可选遥测,可用环境变量关闭,建议在最终确定放行清单前关掉。

官方出处:https://code.claude.com/docs/en/network-config