企业网络配置

Claude Code 通过环境变量支持各种企业网络安全配置：标准代理（HTTPS_PROXY/HTTP_PROXY/NO_PROXY）、CA 证书信任存储选择（bundled/system/自定义 PEM）、mTLS 客户端证书认证，以及防火墙放行 URL 列表。所有环境变量也可在 settings.json 中集中配置。

Claude Code 通过环境变量支持各种企业网络和安全配置，包括路由企业代理服务器的流量、信任自定义 CA，以及通过 mTLS 证书进行增强安全认证。

---

代理配置

环境变量

Claude Code 遵循标准代理环境变量：

# HTTPS 代理（推荐）
export HTTPS_PROXY=https://proxy.example.com:8080

# HTTP 代理（如无法用 HTTPS）
export HTTP_PROXY=http://proxy.example.com:8080

# 绕过代理（空格分隔）
export NO_PROXY="localhost 192.168.1.1 example.com .example.com"

# 绕过代理（逗号分隔）
export NO_PROXY="localhost,192.168.1.1,example.com,.example.com"

# 绕过所有请求
export NO_PROXY="*"

基本认证

如果代理需要基本认证，在代理 URL 中包含凭据：

export HTTPS_PROXY=http://username:password@proxy.example.com:8080

---

CA 证书信任存储

默认情况下，Claude Code 同时信任其内置的 Mozilla CA 证书和操作系统证书存储。CrowdStrike Falcon 和 Zscaler 等企业 TLS 拦截代理，只要其根证书已安装到 OS 信任存储中，无需额外配置即可工作。

CLAUDE_CODE_CERT_STORE 接受逗号分隔的来源列表。支持的值：

• bundled：Claude Code 内置的 Mozilla CA 证书集合
• system：操作系统信任存储

默认值为 bundled,system。

# 仅信任内置 Mozilla CA 证书
export CLAUDE_CODE_CERT_STORE=bundled

# 仅信任 OS 证书存储
export CLAUDE_CODE_CERT_STORE=system

---

自定义 CA 证书

如果企业环境使用自定义 CA，直接配置信任：

export NODE_EXTRA_CA_CERTS=/path/to/ca-cert.pem

---

mTLS 认证

对于需要客户端证书认证的企业环境：

# 客户端证书
export CLAUDE_CODE_CLIENT_CERT=/path/to/client-cert.pem

# 客户端私钥
export CLAUDE_CODE_CLIENT_KEY=/path/to/client-key.pem

# 可选：加密私钥的密码
export CLAUDE_CODE_CLIENT_KEY_PASSPHRASE="your-passphrase"

---

网络访问要求

Claude Code 需要访问以下 URL，确保在代理配置和防火墙规则中将其放行：

核心 API：

• api.anthropic.com：Claude API 端点
• claude.ai：claude.ai 账户认证
• platform.claude.com：Anthropic Console 账户认证

安装程序和自动更新（如果通过 npm 管理或自行分发二进制，终端用户可能不需要）：

• storage.googleapis.com：Claude Code 二进制文件和自动更新程序的下载存储桶
• downloads.claude.ai：安装脚本、版本指针、清单、签名密钥和插件可执行文件的 CDN

Chrome 集成：

• bridge.claudeusercontent.com：Claude in Chrome 的 WebSocket 桥接服务（需要放行出站 WebSocket 连接）

GitHub Enterprise Cloud 的 IP 允许列表

Web 版 Claude Code 和 Code Review 从 Anthropic 管理的基础设施连接到你的仓库。如果你的 GitHub Enterprise Cloud 组织通过 IP 地址限制访问，需要为已安装的 GitHub Apps 启用 IP 允许列表继承。

Claude GitHub App 会注册其 IP 范围，启用此设置后无需手动配置。如需手动添加，或为其他防火墙配置，参见 Anthropic API IP 地址。

GitHub Enterprise Server（自托管）

对于防火墙后面的自托管 GitHub Enterprise Server，需要将相同的 Anthropic API IP 地址加入白名单，以便 Anthropic 基础设施访问你的 GHES 主机来克隆仓库和发布审查评论。

---

集中配置示例

在 settings.json 中集中配置网络环境（可提交到版本控制供团队共享）：

{
  "env": {
    "HTTPS_PROXY": "https://proxy.example.com:8080",
    "NODE_EXTRA_CA_CERTS": "/etc/ssl/certs/company-ca.pem",
    "NO_PROXY": "localhost,internal.company.com"
  }
}

---

相关资源

• Claude Code 设置
• 环境变量参考
• 故障排查指南
• LLM 网关配置

---

常见问题

Q: 企业使用 TLS 拦截代理（如 Zscaler），Claude Code 能正常工作吗？

可以，只需确保代理的根证书已安装到操作系统信任存储中。Claude Code 默认同时信任内置 Mozilla CA 和 OS 信任存储，无需额外配置。如果只需信任 OS 存储，可以设置 CLAUDE_CODE_CERT_STORE=system。

Q: 如何确认 Claude Code 是否能访问必要的 URL？

在代理/防火墙配置完成后，运行 claude /doctor 或直接 curl -v https://api.anthropic.com/v1/messages 测试连通性。也可以查看 Claude Code 启动时的日志输出。

Q: 代理需要 NTLM 或 Kerberos 认证，怎么办？

Claude Code 原生支持基本认证代理（用户名:密码 in URL），不支持 NTLM/Kerberos 等高级认证方式。对于这类场景，推荐在本地部署支持高级认证的 LLM 网关，再将 Claude Code 指向该网关。