Key Connector einsetzen
Dieser Artikel führt Sie durch das Verfahren zur Aktivierung und Konfiguration des Key Connectors in einer bestehenden selbst gehosteten Umgebung. Bevor Sie fortfahren , lesen Sie bitte den Artikel über Key Connector sorgfältig durch, um sicherzustellen, dass Sie vollständig verstehen, was Key Connector ist, wie er funktioniert und welche Auswirkungen die Implementierung hat.
Bitwarden unterstützt die Bereitstellung eines Key Connectors zur Nutzung durch eine Organisation für eine selbst gehostete Instanz.
Warnung
Management of cryptographic keys is incredibly sensitive and is only recommended for enterprises with a team and infrastructure that can securely support deploying and managing a key server.
Um Key Connector zu verwenden, müssen Sie:
Verfügen Sie über einen selbst gehosteten Bitwarden-Server .
Aktivieren Sie die Richtlinien „Einzelne Organisation“ und „Einmaliges Anmelden erforderlich“ .
Wenn Ihre Organisation diese Anforderungen erfüllt oder erfüllen kann, einschließlich eines Teams und einer Infrastruktur, die die Verwaltung eines Schlüsselservers unterstützen kann, kontaktieren Sie uns und wir werden den Key Connector aktivieren.
Sobald Sie uns bezüglich Key Connector kontaktiert haben , werden wir uns mit Ihnen in Verbindung setzen, um eine Key Connector-Diskussion zu starten. Die folgenden Schritte in diesem Artikel müssen in Zusammenarbeit mit Bitwarden Kundenerfolgs- und Implementierungsspezialisten abgeschlossen werden.
Sobald Sie uns bezüglich des Key Connectors kontaktiert haben, wird ein Mitglied des Kundenerfolgs- und Implementierungsteams eine Key Connector-aktivierte Lizenzdatei für Ihre Organisation generieren. Wenn Ihr Bitwarden-Mitarbeiter Ihnen mitteilt, dass er bereit ist, führen Sie die folgenden Schritte aus, um die neue Lizenz zu erhalten:
Öffnen Sie die Bitwarden Cloud-Web-App und navigieren Sie zu dem Rechnung → Abonnement Bildschirm Ihrer Organisation im Administrator-Konsole.
Scrollen Sie nach unten und wählen Sie die Schaltfläche Lizenz herunterladen.
Wenn Sie dazu aufgefordert werden, geben Sie die Installations-ID ein, die verwendet wurde, um Ihren selbst gehosteten Server zu installieren, und wählen Sie Absenden. Wenn Sie Ihre Installations-ID nicht auswendig kennen, können Sie diese von
./bwdata/env/global.override.envabrufen.
Sie benötigen Ihre Lizenzdatei nicht sofort, aber Sie müssen sie auf Ihren selbst gehosteten Server in einem späteren Schritt hochladen.
Um Ihren Bitwarden-Server für den Key Connector vorzubereiten:
Speichern Sie mindestens eine Sicherungskopie von
.bwdata/mssql. Sobald der Key Connector verwendet wird, wird empfohlen, dass Sie Zugang zu einem Backup-Image vor der Verwendung des Key Connectors haben, falls ein Problem auftritt.Hinweis
Wenn Sie eine externe MSSQL-Datenbank verwenden, erstellen Sie eine Sicherungskopie Ihrer Datenbank auf die Weise, die am besten zu Ihrer Implementierung passt.
Aktualisieren Sie Ihre selbst gehostete Bitwarden-Installation, um die neuesten Änderungen abzurufen:
Bash./bitwarden.sh updateBearbeiten Sie die
.bwdata/config.ymlDatei und aktivieren Sie Key Connector, indem Sieenable_key_connectorauftrueumschalten.Bashnano bwdata/config.ymlBauen Sie Ihre selbst gehostete Bitwarden-Installation neu auf:
Bash./bitwarden.sh rebuildAktualisieren Sie Ihre selbst gehostete Bitwarden-Installation erneut, um die Änderungen anzuwenden:
Bash./bitwarden.sh update
Um den Key Connector zu konfigurieren:
Bearbeiten Sie die
.bwdata/env/key-connector.override.envDatei, die mit der./bitwarden.sh Aktualisierungheruntergeladen worden sein wird.Bashnano bwdata/env/key-connector.override.envWarnung
This file will be pre-populated with default values that will spin up a functional local Key Connector setup, however the default values are not recommended for production environments.
In
key-connector.override.env, müssen Sie Werte für Folgendes angeben:Endpunkte: Mit welchen Bitwarden Endpunkten der Key Connector kommunizieren kann.
Datenbank: Wo Key Connector Benutzerschlüssel speichern und abrufen wird.
RSA-Schlüsselpaar: Wie Key Connector auf ein RSA-Schlüsselpaar zugreifen wird, um Benutzerschlüssel im Ruhezustand zu schützen.
Endpunkte
Die automatisierte Einrichtung wird Endpunkt-Werte basierend auf Ihrer Installationskonfiguration füllen, jedoch wird empfohlen, dass Sie die folgenden Werte in key-connector.override.env bestätigen, die für Ihre Einrichtung genau sind:
BashkeyConnectorSettings__webVaultUri=https://your.bitwarden.domain.com keyConnectorSettings__identityServerUri=http://identity:5000
Datenbank
Der Key Connector muss auf eine Datenbank zugreifen, die verschlüsselte Benutzerschlüssel für die Mitglieder Ihrer Organisation speichert. Erstellen Sie eine sichere Datenbank zur Speicherung verschlüsselter Benutzerschlüssel und ersetzen Sie die Standardwerte von keyConnectorSettings__database__ in key-connector.override.env durch die Werte, die in der Spalte Erforderliche Werte für die ausgewählte Datenbank angegeben sind:
Warnung
Migration from one database to another is not supported at this time. Regardless of which provider you choose, implement a frequent automated backup schedule for the database.
Datenbank | Erforderliche Werte |
|---|---|
Lokales JSON (Standard) | Nicht empfohlen außerhalb von Tests.
|
Microsoft SQL Server |
Lernen Sie, wie Sie MSSQL-Verbindungszeichenfolgen formatieren |
PostgreSQL |
Lernen Sie, wie Sie Verbindungszeichenfolgen für PostgreSQL formatieren |
MySQL/MariaDB |
|
MongoDB |
Lernen Sie, wie Sie Verbindungsstrings in MongoDB formatieren |
RSA-Schlüsselpaar
Key Connector verwendet ein RSA-Schlüsselpaar, um Benutzerschlüssel im Ruhezustand zu schützen. Erstellen Sie ein Schlüsselpaar und ersetzen Sie die Standardwerte keyConnectorSettings__rsaKey__ und keyConnectorSettings__certificate__ in key-connector.override.env durch die für Ihre gewählte Implementierung erforderlichen Werte.
Tipp
The RSA key pair must be at a minimum 2048 bits in length.
Im Allgemeinen beinhalten Ihre Optionen, dem Key Connector Zugriff auf ein X509 Zertifikat zu gewähren, das das Schlüsselpaar enthält, oder dem Key Connector direkt Zugriff auf das Schlüsselpaar zu gewähren:
To use an X509 certificate that contains an RSA key pair, specify the values required depending on the location where your certificate is stored (see Filesystem, OS Certificate Store, and so on):
Tipp
The certificate must be made available as a PKCS12 .pfx file, for example:
Bashopenssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout bwkc.key -out bwkc.crt -subj "/CN=Bitwarden Key Connector" -days 36500
openssl pkcs12 -export -out ./bwkc.pfx -inkey bwkc.key -in bwkc.crt -passout pass:{Password}In all certificate implementations, you'll need the CN value shown in this example.
Filesystem (default)
If the certificate is stored on the filesystem of the machine running Key Connector, specify the following values:
Hinweis
By default, Key Connector will be configured to create a .pfx file located at etc/bitwarden/key-connector/bwkc.pfx with a generated password. It is not recommended for enterprise implementations to use these defaults.
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=filesystem keyConnectorSettings__certificate__filesystemPath={Certificate_Path} keyConnectorSettings__certificate__filesystemPassword={Certificate_Password}
Azure Blob Storage
If the certificate is uploaded to Azure Blob Storage, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=azurestorage keyConnectorSettings__certificate__azureStorageConnectionString={Connection_String} keyConnectorSettings__certificate__azureStorageContainer={Container_Name} keyConnectorSettings__certificate__azureStorageFileName={File_Name} keyConnectorSettings__certificate__azureStorageFilePassword={File_Password}
Set azureStorageConnectionString to a Connection string you can generate in your Azure portal from the Shared access signature (SAS) page of your storage account. The SAS must have:
Allowed services: Blob and File
Allowed resource types: Service, Container, and Object
Allowed permissions: Read, Write, and List
Allowed blob index permissions: Read/Write and Filter
Azure Key Vault
If certificate is stored in Azure Key Vault, specify the following values:
Hinweis
To use Azure Key Vault to store your .pfx certificate, you'll need to create an Active Directory App Registration. This App Registration must:
Give delegated API permissions to access Azure Key Vault
Have a client secret generated to allow access by Key Connector
BashkeyConnectorSettings__certificate__provider=azurekv keyConnectorSettings__certificate__azureKeyvaultUri={Vault_URI} keyConnectorSettings__certificate__azureKeyvaultCertificateName={Certificate_Name} keyConnectorSettings__certificate__azureKeyvaultAdTenantId={ActiveDirectory_TenantId} keyConnectorSettings__certificate__azureKeyvaultAdAppId={AppRegistration_ApplicationId} keyConnectorSettings__certificate__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}
Hashicorp Vault
If the certificate is stored in Hashicorp Vault, specify the following values:
Hinweis
Key Connector integrates with the Hashicorp Vault KV2 Storage Engine. As per the top of this tab, the certificate file should be in PKCS12 format and stored base64-encoded as the value to a named key in your Vault. If following a Vault tutorial for the KV2 Storage Engine, the key name may be file unless otherwise specified.
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=vault keyConnectorSettings__certificate__vaultServerUri={Server_URI} keyConnectorSettings__certificate__vaultToken={Token} keyConnectorSettings__certificate__vaultSecretMountPoint={Secret_MountPoint} keyConnectorSettings__certificate__vaultSecretPath={Secret_Path} keyConnectorSettings__certificate__vaultSecretDataKey={Secret_DataKey} keyConnectorSettings__certificate__vaultSecretFilePassword={Secret_FilePassword}
To use a cloud provider or physical device to store to a RSA 2048 key pair, specify the values required depending on your chosen implementation (see Azure Key Vault, Google Cloud Key Management, and so on):
Azure Key Vault
If you are using Azure Key Vault to store a RSA 2048 key pair, specify the following values:
Hinweis
To use Azure Key Vault to store your RSA 2048 key, you'll need to create an Active Directory App Registration. This App Registration must:
Give delegated API permissions to access Azure Key Vault
Have a client secret generated to allow access by Key Connector
BashkeyConnectorSettings__rsaKey__provider=azurekv keyConnectorSettings__rsaKey__azureKeyvaultUri={Vault_URI} keyConnectorSettings__rsaKey__azureKeyvaultKeyName={Key_Name} keyConnectorSettings__rsaKey__azureKeyvaultAdTenantId={ActiveDirectory_TenantId} keyConnectorSettings__rsaKey__azureKeyvaultAdAppId={AppRegistration_ApplicationId} keyConnectorSettings__rsaKey__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}
Learn how to use Azure Key Vault to create a key pair
Google Cloud Key Management
If you are using Google Cloud Key Management to store a RSA 2048 key pair, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=gcpkms keyConnectorSettings__rsaKey__googleCloudProjectId={Project_Id} keyConnectorSettings__rsaKey__googleCloudLocationId={Location_Id} keyConnectorSettings__rsaKey__googleCloudKeyringId={Keyring_Id} keyConnectorSettings__rsaKey__googleCloudKeyId={Key_Id} keyConnectorSettings__rsaKey__googleCloudKeyVersionId={KeyVersionId}
Learn how to use Google Cloud Key Management Service to create key rings and asymmetric keys
AWS Key Management Service
If you are using AWS Key Management Service (KMS) to store a RSA 2048 key pair, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=awskms keyConnectorSettings__rsaKey__awsAccessKeyId={AccessKey_Id} keyConnectorSettings__rsaKey__awsAccessKeySecret={AccessKey_Secret} keyConnectorSettings__rsaKey__awsRegion={Region_Name} keyConnectorSettings__rsaKey__awsKeyId={Key_Id}
Learn how to use AWS KMS to create asymmetric keys
PKCS11 Physical HSM
If you are using a physical HSM device with the PKCS11 provider, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=pkcs11 keyConnectorSettings__rsaKey__pkcs11Provider={Provider} keyConnectorSettings__rsaKey__pkcs11SlotTokenSerialNumber={Token_SerialNumber} keyConnectorSettings__rsaKey__pkcs11LoginUserType={Login_UserType} keyConnectorSettings__rsaKey__pkcs11LoginPin={Login_PIN} ONE OF THE FOLLOWING TWO: keyConnectorSettings__rsaKey__pkcs11PrivateKeyLabel={PrivateKeyLabel} keyConnectorSettings__rsaKey__pkcs11PrivateKeyId={PrivateKeyId}
Where:
{Provider}can beyubihsmoropensc{Login_UserType}can beuser,so, orcontext_specific
Hinweis
If you are using the PKCS11 provider to store your private key on an HSM device, the associated public key must be made available and configured as a certificate using any of the options found in the Certificates tab.
Jetzt, da Key Connector vollständig konfiguriert ist und Sie eine Key Connector-fähige Lizenz haben, führen Sie die folgenden Schritte aus:
Starten Sie Ihre selbst gehostete Bitwarden-Installation neu, um die Konfigurationsänderungen anzuwenden:
Bash./bitwarden.sh restartMelden Sie sich als Organisationsinhaber bei Ihrem selbst gehosteten Bitwarden an und navigieren Sie zum Bildschirm „Abrechnung“ → „Abonnement“ der Admin-Konsole.
Wählen Sie die Schaltfläche Lizenz aktualisieren und laden Sie die Key Connector-aktivierte Lizenz hoch, die in einem früheren Schritt abgerufen wurde.
Wenn Sie es noch nicht getan haben, navigieren Sie zu dem Einstellungen → Richtlinien Bildschirm und aktivieren Sie die Einzelne Organisation und Einfache Anmeldungsauthentifizierung erforderlich Richtlinien. Beide sind erforderlich, um Key Connector zu verwenden .
Navigieren Sie zu dem Einstellungen → Einmaliges Anmelden Bildschirm.
Tipp
The next few steps assume that you already have an active login with SSO implementation using SAML 2.0 or OIDC. If you don't, please implement and test login with SSO before proceeding.
Im Abschnitt Entschlüsselungsoptionen für Mitglieder, wählen Sie Key Connector.
Geben Sie in der Eingabe für die Key Connector URL die Adresse ein, unter der Key Connector läuft (standardmäßig
https://your.domain/key-connector) und wählen Sie die Test Schaltfläche aus, um sicherzustellen, dass Sie Key Connector erreichen können.Scrollen Sie zum unteren Rand des Bildschirms und wählen Sie Speichern.