Codex CLI 安装适配国产信创环境实践：统信 UOS、麒麟、openEuler、Anolis 的落地思路

Codex CLI 安装适配国产信创环境实践：统信 UOS、麒麟、openEuler、Anolis 的落地思路

一、背景

随着 AI 编程助手逐渐进入日常研发流程，越来越多团队开始尝试把 OpenAI Codex 接入本地开发环境，用它来做代码阅读、单元测试补全、脚本生成、Bug 修复和代码审查

Codex CLI 是 OpenAI 提供的命令行编码智能体，可以在终端中运行，读取、修改并执行当前目录中的代码任务，官方文档也明确说明它是开源的，并且使用 Rust 构建以提升性能和效率 (OpenAI Help Center)

在普通 macOS、Ubuntu、Windows 环境下，Codex CLI 的安装相对简单，但在国产信创环境中，实际落地通常会遇到几个额外问题：CPU 架构不一致、系统源较旧、Node/npm 版本偏低、网络出口受控、企业根证书拦截、npm 源不可达、API 访问需要代理或网关转发

本文以统信 UOS、银河麒麟、openEuler、Anolis 等国产 Linux 环境为例，整理一套 Codex CLI 安装和适配思路

二、先确认环境，不要一上来就安装

信创环境适配 Codex 时，第一步不是执行安装命令，而是确认系统架构

uname -m
cat /etc/os-release
node -v
npm -v
git --version

常见输出可以这样判断

x86_64      # 海光、兆芯、Intel、AMD 常见
aarch64     # 飞腾、鲲鹏、部分 ARM 服务器常见
loongarch64 # 龙芯新平台常见

OpenAI 官方 GitHub 仓库目前给 Linux 提供的常用预编译包主要是 x86_64-unknown-linux-musl 和 aarch64-unknown-linux-musl，也就是说 x86_64 和 arm64/aarch64 是最稳妥的落地路径 (GitHub)

如果是龙芯 LoongArch 环境，不能简单套用 x86_64 或 aarch64 的二进制包，建议优先考虑三种方案：在同网段部署一台 x86_64/arm64 开发机作为 Codex 工作机，通过 SSH 使用；使用支持架构的容器或远程开发环境；或者等待官方提供对应架构包后再做原生安装

三、安装方式选择

Codex CLI 官方推荐的安装方式很简单，直接使用 npm 全局安装

npm i -g @openai/codex

安装完成后执行

codex

第一次运行时会提示登录，可以使用 ChatGPT 账号，也可以使用 API Key，官方文档明确说明 Codex CLI 支持这两种认证方式 (OpenAI Help Center)

如果环境中 npm 不方便访问外网，也可以从 GitHub Release 下载对应 Linux 架构的二进制包，解压后重命名为 codex，再放到 /usr/local/bin 或用户自己的 ~/bin 目录下 (GitHub)

tar -xf codex-x86_64-unknown-linux-musl.tar.gz
mv codex-x86_64-unknown-linux-musl codex
chmod +x codex
sudo mv codex /usr/local/bin/
codex --version

如果是 ARM 信创服务器，则选择 aarch64 包

tar -xf codex-aarch64-unknown-linux-musl.tar.gz
mv codex-aarch64-unknown-linux-musl codex
chmod +x codex
sudo mv codex /usr/local/bin/

四、国产 Linux 上安装 Node.js 和 npm

很多信创系统自带的软件源版本偏保守，Node.js 版本可能比较旧，如果直接使用系统自带 npm 安装 Codex，可能会遇到依赖解析失败、TLS 失败、语法不兼容等问题

建议先确认版本

node -v
npm -v

如果版本较旧，建议使用 Node.js LTS 版本，Node 官网当前下载页会列出 LTS 和 Current 版本，生产或办公环境建议优先选择 LTS (Node.js)

在无法使用官方安装脚本的信创环境中，可以采用离线二进制方式安装

mkdir -p /opt/node
tar -xf node-vxx.x.x-linux-x64.tar.xz -C /opt/node --strip-components=1

cat >> ~/.bashrc <<'EOF'
export NODE_HOME=/opt/node
export PATH=$NODE_HOME/bin:$PATH
EOF

source ~/.bashrc
node -v
npm -v

如果是 aarch64 环境，需要下载对应 ARM64 架构的 Node.js 包

tar -xf node-vxx.x.x-linux-arm64.tar.xz -C /opt/node --strip-components=1

五、npm 源和内网镜像适配

npm 默认使用公共 npm registry，npm 官方文档也说明 npm 可以配置为使用其他兼容 registry，因此在企业信创环境中，推荐使用公司内网 Nexus、Artifactory、Verdaccio 或统一 npm 代理源 (npm 文档)

查看当前源

npm config get registry

切换为企业内网源

npm config set registry <企业内网 npm registry 地址>

如果只是临时安装 Codex，可以只对本次安装指定源

npm i -g @openai/codex --registry=<企业内网 npm registry 地址>

如果公司允许访问公网 npm，也可以恢复官方源

npm config set registry https://registry.npmjs.org

这里建议企业内部做一次包缓存，而不是让每台信创终端都直接访问外网，一方面更稳定，另一方面也便于审计和版本固化

六、代理、证书和 API 出口适配

信创办公网中最常见的问题不是 Codex 本身安装失败，而是安装成功后无法连接 OpenAI API

先检查基础连通性

curl -I https://api.openai.com

如果需要 HTTP/HTTPS 代理，可以先在当前 Shell 中配置

export HTTP_PROXY=http://proxy.example.com:8080
export HTTPS_PROXY=http://proxy.example.com:8080
export NO_PROXY=localhost,127.0.0.1,*.local

再运行

codex

如果企业使用 HTTPS 检查或自签根证书，需要把企业根证书加入系统信任链，否则 Node/npm 或 Codex 调用接口时可能出现证书校验失败

Debian/Ubuntu/UOS 系常见方式

sudo cp company-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

RHEL/openEuler/Anolis/麒麟服务器系常见方式

sudo cp company-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

如果 npm 仍然报证书错误，可以单独配置 npm 证书

npm config set cafile /path/to/company-ca.crt

不建议长期使用下面这种方式

npm config set strict-ssl false

因为它会绕过证书校验，只适合临时排障，不适合生产或企业办公环境

七、认证方式选择：个人开发、企业工作站、CI/CD

Codex 支持使用 ChatGPT 登录，也支持 API Key 登录，官方说明 Codex CLI 和 IDE 扩展同时支持这两种方式，而 Codex cloud 需要使用 ChatGPT 登录 (OpenAI开发者)

个人开发机建议直接运行

codex

然后按提示登录 ChatGPT

服务器或脚本环境更适合使用 API Key

export OPENAI_API_KEY="sk-xxxx"
codex

如果是企业自动化流程，OpenAI 文档建议对程序化 Codex CLI 工作流使用 API Key 或企业访问令牌，同时强调不要把 Codex 暴露在不可信或公开环境中 (OpenAI开发者)

CI/CD 中可以这样写

export OPENAI_API_KEY="${OPENAI_API_KEY}"
codex exec "review this repository and summarize the top risks"

企业环境中要注意三点

第一，密钥不要写进脚本仓库

第二，密钥不要输出到日志

第三，不要在公共 Runner、外包共用机器或无隔离跳板机上运行带密钥的 Codex

八、Codex 配置文件适配企业网关

如果企业内部有统一 AI 网关、代理转发层或兼容 OpenAI API 的中转服务，可以通过 Codex 配置自定义 provider

Codex 配置参考中包含 model_provider、model_providers.<id>.base_url 和 model_providers.<id>.env_key 等字段，用于指定模型提供方、API Base URL 和密钥来源 (OpenAI开发者)

配置文件通常位于

~/.codex/config.toml

示例

model_provider = "corp-openai"

[model_providers.corp-openai]
name = "corp-openai"
base_url = "https://ai-gateway.example.com/v1"
env_key = "OPENAI_API_KEY"

然后设置环境变量

export OPENAI_API_KEY="企业网关分配的 Key"
codex

这种方式适合信创内网统一出口、统一鉴权、统一审计的场景

九、沙箱和权限策略

Codex 能读代码、改代码、运行命令，所以在企业信创环境里必须关注权限边界

OpenAI 官方安全文档说明，Codex 默认会通过沙箱和审批策略控制行为，本地 CLI/IDE 场景下通常限制在当前工作区，并且默认网络访问关闭 (OpenAI开发者)

建议在信创办公终端中优先使用保守策略

sandbox_mode = "workspace-write"
approval_policy = "on-request"

[sandbox_workspace_write]
network_access = false

如果需要 Codex 在任务中安装依赖、访问包源、调用内网接口，可以临时开启网络

[sandbox_workspace_write]
network_access = true

Codex 配置参考中也明确列出了 sandbox_mode、sandbox_workspace_write.network_access、approval_policy 等配置项，可以按不同风险等级做分层配置 (OpenAI开发者)

建议按下面方式分级

开发学习环境：允许 workspace-write，命令执行前审批

企业项目环境：默认关闭网络，关键操作手动审批

生产运维脚本目录：优先只读模式，禁止自动执行高风险命令

涉密或强内网环境：不建议直接接入外部云模型，应走企业内部审批后的 AI 网关或离线替代方案

十、常见报错和处理

1 npm install 卡住或超时

先检查 npm 源

npm config get registry

再检查代理

env | grep -i proxy

如果企业有内网 npm 源，优先使用内网源安装

npm i -g @openai/codex --registry=<企业内网 npm registry 地址>

2 command not found: codex

检查 npm 全局 bin 目录

npm bin -g
npm prefix -g

把全局 bin 加入 PATH

export PATH="$(npm bin -g):$PATH"

如果使用二进制安装，确认文件是否有执行权限

which codex
ls -l $(which codex)
chmod +x /usr/local/bin/codex

3 证书错误

典型报错包括 CERT_HAS_EXPIRED、SELF_SIGNED_CERT_IN_CHAIN、UNABLE_TO_VERIFY_LEAF_SIGNATURE

处理思路是导入企业 CA，而不是关闭 SSL 校验

sudo cp company-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
npm config set cafile /usr/local/share/ca-certificates/company-ca.crt

4 API 无法访问

先用 curl 测试

curl -v https://api.openai.com

如果必须走代理

export HTTPS_PROXY=http://proxy.example.com:8080
codex

如果公司禁止终端直连外部 API，建议走统一 AI 网关，并在 Codex 中配置 base_url

5 ARM 环境安装失败

先确认架构

uname -m

如果是 aarch64，优先使用 ARM64 Node 和 Codex aarch64 包

如果是 loongarch64，不要强行使用 x86_64 包，建议使用远程 x86_64/arm64 工作机或等待官方架构支持

十一、推荐落地架构

在企业信创环境中，不建议让每个开发终端各自解决网络和密钥问题，更推荐集中式架构

开发终端 / 信创工作站
        |
        |  HTTPS / 企业代理
        v
企业 AI 网关 / API 代理层
        |
        |  统一鉴权、审计、限流、脱敏
        v
OpenAI API 或企业批准的模型服务

这样做有几个好处

第一，开发终端不直接暴露外部 API Key

第二，方便做访问控制、日志审计和配额管理

第三，可以在网关层做模型切换，例如 OpenAI、Azure OpenAI、私有化兼容模型

第四，方便满足信创环境中的合规和安全要求

十二、总结

Codex CLI 在国产信创环境中的适配，核心不在于系统名字，而在于四个基础条件

第一，看 CPU 架构，x86_64 和 aarch64 是目前最容易落地的 Linux 路线

第二，看 Node/npm 和安装源，老版本 Node 和不可达 npm 源是最常见安装问题

第三，看网络出口，代理、证书、API 网关往往比安装命令更关键

第四，看安全边界，Codex 能读写和执行代码，必须配置好沙箱、审批、密钥和日志策略

如果是个人学习环境，一台统信 UOS 或麒麟 x86_64 桌面机，安装 Node LTS 后直接 npm i -g @openai/codex 基本就能跑起来

如果是企业信创环境，推荐把 Codex 纳入统一开发工具链：内网 npm 镜像、企业 CA、AI 网关、密钥托管、审批策略、日志审计一起规划，这样才是真正可维护、可推广的落地方案