企业网络配置
Claude Code 支持通过环境变量配置企业代理、CA 证书信任存储、mTLS 客户端证书认证,以及定义防火墙放行 URL 列表。所有设置也可在 settings.json 的 env 块中集中管理,不需要 SOCKS 代理。
怎么配置 HTTP/HTTPS 代理
环境变量
Claude Code 识别标准的 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY 环境变量:
# HTTPS 代理(推荐)
export HTTPS_PROXY=https://proxy.example.com:8080
# HTTP 代理(HTTPS 不可用时)
export HTTP_PROXY=http://proxy.example.com:8080
# 绕过代理 - 空格分隔格式
export NO_PROXY="localhost 192.168.1.1 example.com .example.com"
# 绕过代理 - 逗号分隔格式
export NO_PROXY="localhost,192.168.1.1,example.com,.example.com"
# 绕过所有请求
export NO_PROXY="*"
Claude Code 不支持 SOCKS 代理。
带基本认证的代理
如果代理需要用户名密码认证,直接在代理 URL 中携带:
export HTTPS_PROXY=http://username:password@proxy.example.com:8080
不要把密码硬编码到脚本里。改用环境变量或安全凭据存储方案。
NTLM、Kerberos 等高级认证方式不受支持。这种情况建议使用支持对应认证方式的 LLM 网关服务。
怎么配置 CA 证书信任存储
默认情况下,Claude Code 同时信任内置的 Mozilla CA 证书和操作系统的证书存储。CrowdStrike Falcon、Zscaler 等企业 TLS 拦截代理,只要其根证书已安装到 OS 信任存储中,无需额外配置即可正常工作。
CLAUDE_CODE_CERT_STORE 变量用逗号分隔多个来源:
| 值 | 含义 |
|---|---|
bundled |
Claude Code 内置的 Mozilla CA 证书集 |
system |
操作系统信任存储 |
默认值为 bundled,system。
只信任内置 Mozilla CA:
export CLAUDE_CODE_CERT_STORE=bundled
只信任 OS 证书存储:
export CLAUDE_CODE_CERT_STORE=system
CLAUDE_CODE_CERT_STORE在settings.json中没有独立的 schema key,只能通过~/.claude/settings.json的env块或进程的环境变量来设置。
Claude Code 怎么信任自定义 CA 证书
如果企业环境使用自定义的 CA(非标准机构签发),通过 NODE_EXTRA_CA_CERTS 指定证书文件路径:
export NODE_EXTRA_CA_CERTS=/path/to/ca-cert.pem
mTLS 客户端证书认证怎么配置
企业环境要求客户端证书认证时,设置以下环境变量:
# 客户端证书
export CLAUDE_CODE_CLIENT_CERT=/path/to/client-cert.pem
# 客户端私钥
export CLAUDE_CODE_CLIENT_KEY=/path/to/client-key.pem
# 可选:加密私钥的密码短语
export CLAUDE_CODE_CLIENT_KEY_PASSPHRASE="your-passphrase"
防火墙白名单 URL 列表
Claude Code 需要访问以下 URL。请在代理配置和防火墙规则中放行它们,特别是容器化或受限网络环境。
| URL | 用途 |
|---|---|
api.anthropic.com |
Claude API 请求 |
claude.ai |
claude.ai 账户认证 |
platform.claude.com |
Anthropic Console 账户认证 |
downloads.claude.ai |
插件可执行文件下载;原生安装程序和自动更新器 |
storage.googleapis.com |
{/* max-version: 2.1.115 */}2.1.116 版本之前的原生安装程序和自动更新器 |
bridge.claudeusercontent.com |
Claude in Chrome 扩展 WebSocket 桥接 |
raw.githubusercontent.com |
/release-notes 命令的变更日志和新版本更新提示;插件市场安装计数 |
如果通过 npm 安装 Claude Code 或自行管理二进制分发,终端用户可能不需要访问 downloads.claude.ai 或 storage.googleapis.com。
Claude Code 默认会发送可选的运行遥测数据,可以通过环境变量关闭。在完成白名单配置前,请参考「遥测服务」文档确认是否需要禁用。
使用 Amazon Bedrock、Google Vertex AI 或 Microsoft Foundry 时,模型流量和认证会发送到对应供应商而不是 api.anthropic.com、claude.ai 或 platform.claude.com。WebFetch 工具仍然会调用 api.anthropic.com 做域名安全检查,除非你在设置中把 skipWebFetchPreflight 设为 true。
Claude Code on the web 和 Code Review 从 Anthropic 管理的基础设施连接你的仓库。如果 GitHub Enterprise Cloud 组织通过 IP 地址限制访问,可以启用「已安装 GitHub Apps 的 IP 允许列表继承」。Claude GitHub App 会注册自己的 IP 范围,启用此选项后不需要手动配置。如果要手动添加 IP 范围到允许列表,或配置其他防火墙,请参阅 Anthropic API IP 地址文档。
对于防火墙后的自托管 GitHub Enterprise Server 实例,同样需要把 Anthropic API IP 地址加入白名单,这样 Anthropic 基础设施才能访问你的 GHES 主机来克隆仓库和发布审查评论。
相关参考
- Claude Code 设置
- 环境变量参考
- 故障排查指南
常见问题
Zscaler/CrowdStrike 代理环境下 Claude Code 连不上怎么办?
确保 TLS 拦截代理的根证书已经安装到操作系统信任存储中。Claude Code 默认同时信任内置 Mozilla CA 和 OS 存储,所以只要 OS 端信任了这个根证书,不需要额外配置。如果还不行,可以尝试只设为 CLAUDE_CODE_CERT_STORE=system 排除内置证书的干扰。
怎么确认 Claude Code 能否访问 api.anthropic.com?
配置完代理或防火墙后,运行 curl -v https://api.anthropic.com/v1/messages 测试网络连通性。也可以在启动 Claude Code 后直接执行一个简单的 API 调用(比如 /help)来观察是否有连接错误。
公司代理用 NTLM 认证,Claude Code 怎么配?
Claude Code 只支持基本认证(用户名:密码写在 URL 里),不支持 NTLM、Kerberos 等协议。解决方案是部署一个支持 NTLM 认证的本地 LLM 网关,然后把 Claude Code 的代理指向这个网关。