Déploiement Manuel de Linux

Cet article vous guidera à travers la procédure pour installer et déployer manuellement Bitwarden sur votre propre serveur. Veuillez consulter la documentation de soutien à la version logicielle de Bitwarden.

Avant de procéder à l'installation, veuillez vous assurer que Docker Engine et Docker Compose sont installés et prêts à être utilisés sur votre serveur et que votre machine répond aux spécifications système requises.

Si vous construisez vos propres images Bitwarden, les images officielles de .NET Core Runtime (téléchargeables depuis DockerHub) de la même version majeure que les images Bitwarden sont nécessaires.

Nous recommandons de configurer votre serveur avec un compte de service Bitwarden dédié à partir duquel installer et exécuter Bitwarden. En faisant cela, votre instance Bitwarden sera isolée des autres applications en cours d'exécution sur votre serveur.

Ces étapes sont les meilleures pratiques recommandées par Bitwarden, mais ne sont pas obligatoires. Pour plus d'informations, consultez la documentation de Docker sur les étapes post-installation pour Linux.

1. Créez un utilisateur Bitwarden :

   Bash
   sudo adduser bitwarden

2. Définissez un mot de passe pour l'utilisateur Bitwarden :

   Bash
   sudo passwd bitwarden

3. Créez un groupe Docker (s'il n'existe pas déjà) :

   Bash
   sudo groupadd docker

4. Ajoutez l'utilisateur Bitwarden au groupe docker:

   Bash
   sudo usermod -aG docker bitwarden

5. Créez un répertoire Bitwarden :

   Bash
   sudo mkdir /opt/bitwarden

6. Définissez les autorisations pour le répertoire /opt/bitwarden :

   Bash
   sudo chmod -R 700 /opt/bitwarden

7. Définissez la propriété de l'utilisateur Bitwarden du répertoire /opt/bitwarden :

   Bash
   sudo chown -R bitwarden:bitwarden /opt/bitwarden

Pour télécharger Bitwarden et configurer les ressources du serveur Bitwarden :

1. Téléchargez une version ébauchée des dépendances de Bitwarden (docker-stub.zip) depuis les pages de versions sur GitHub. Par exemple:

   Bash
   curl -L https://github.com/bitwarden/server/releases/download/v<version_number>/docker-stub.zip \
    -o docker-stub.zip

2. Créez un nouveau répertoire nommé bwdata et extrayez docker-stub.zip dedans, par exemple :

   Bash
   unzip docker-stub.zip -d bwdata

   Une fois décompressé, le répertoire bwdata correspondra à ce que le fichier docker-compose.yml attend pour le mappage de volume. Vous pouvez, si vous le souhaitez, modifier l'emplacement de ces mappages sur la machine hôte.

3. Dans ./bwdata/env/global.override.env, éditer les variables d'environnement suivantes :

   • globalSettings__baseServiceUri__vault=: Entrez le domaine de votre instance Bitwarden.

   • globalSettings__sqlServer__ConnectionString=: Remplacez le MOT_DE_PASSE_ALÉATOIRE_DE_LA_BASE_DE_DONNÉES par un mot de passe sécurisé à utiliser dans une étape ultérieure.

   • globalSettings__identityServer__certificatePassword: Définissez un mot de passe de certificat sécurisé pour une utilisation dans une étape ultérieure.

   • globalSettings__internalIdentityKey=: Remplacez RANDOM_IDENTITY_KEY par une chaîne de clé aléatoire.

   • globalSettings__oidcIdentityClientKey=: Remplacez RANDOM_IDENTITY_KEY par une chaîne de clés aléatoire.

   • globalSettings__duo__aKey=: Remplacez RANDOM_DUO_AKEY par une chaîne de clés aléatoire.

   • globalSettings__installation__id=: Entrez un identifiant d'installation récupéré depuis https://bitwarden.com/host.

   • globalSettings__installation__key=: Entrez une clé d'installation récupérée depuis https://bitwarden.com/host.

     pointe

     À ce moment, envisagez également de définir des valeurs pour toutes les variables globalSettings__mail__smtp__ et pour adminSettings__admins. En faisant cela, vous configurerez le serveur de messagerie SMTP utilisé pour envoyer des invitations aux nouveaux membres de l'organisation et fournir l'accès au Portail de l'Administrateur Système.

     En savoir plus sur les variables d'environnement.

4. À partir de ./bwdata, générer un fichier de certificat .pfx pour le conteneur d'identité et le déplacer vers le répertoire du volume mappé (par défaut, ./bwdata/identity/). Par exemple, exécutez les commandes suivantes :

   Bash
   openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout identity.key -out identity.crt -subj "/CN=Bitwarden IdentityServer" -days 10950

   et

   Bash
   openssl pkcs12 -export -out ./identity/identity.pfx -inkey identity.key -in identity.crt -passout pass:IDENTITY_CERT_PASSWORD

   Dans la commande ci-dessus, remplacez IDENTITY_CERT_PASSWORD par le mot de passe du certificat créé et utilisé dans Étape 3.

5. Copier identity.pfx dans le répertoire ./bwdata/ssl.

6. Créez un sous-répertoire dans ./bwdata/ssl nommé pour votre domaine, par exemple :

   Bash
   mkdir ./ssl/bitwarden.example.com

7. Fournissez un certificat SSL de confiance et une clé privée dans le sous-répertoire nouvellement créé ./bwdata/ssl/bitwarden.example.com.

   note

   Ce répertoire est mappé au conteneur NGINX à /etc/ssl. Si vous ne pouvez pas fournir un certificat SSL de confiance, placez devant l'installation un proxy qui fournit un point de terminaison HTTPS aux applications client Bitwarden.

8. Dans ./bwdata/nginx/default.conf:

   1. Remplacez toutes les instances de bitwarden.example.com par votre domaine, y compris dans l'en-tête Politique de Sécurité de Contenu.

   2. Définissez les variables ssl_certificate et ssl_certificate_key sur les chemins du certificat et de la clé privée fournis dans l'Étape 7.

   3. Effectuez l'une des actions suivantes, en fonction de la configuration de votre certificat :

      • Si vous utilisez un certificat SSL de confiance, définissez la variable ssl_trusted_certificate sur le chemin d'accès à votre certificat.

      • Si vous utilisez un certificat auto-signé, mettez en commentaire la variable ssl_trusted_certificate.

9. Dans ./bwdata/env/mssql.override.env, remplacez RANDOM_DATABASE_PASSWORD par le mot de passe créé à l'étape 3.

10. Dans ./bwdata/web/app-id.json, remplacez bitwarden.example.com par votre domaine.

11. Dans ./bwdata/env/uid.env, définissez l'UID et le GID des utilisateurs et du groupe Bitwarden que vous avez créé précédemment afin que les conteneurs s'exécutent sous ceux-ci, par exemple :

    Bash
    LOCAL_UID=1001
    LOCAL_GID=1001

Démarrez votre serveur Bitwarden avec la commande suivante :

Bash
docker-compose -f ./docker/docker-compose.yml up -d

Vérifiez que tous les conteneurs fonctionnent correctement :

Bash
docker ps

Félicitations ! Bitwarden est maintenant opérationnel à l'adresse https://your.domain.com. Visitez le coffre web dans votre navigateur pour confirmer qu'il fonctionne.

Vous pouvez maintenant enregistrer un nouveau compte et vous connecter. Vous devrez avoir configuré les variables d'environnement SMPT (voir Variables d'Environnement) afin de vérifier le courriel pour votre nouveau compte.

• Si vous prévoyez d'auto-héberger une organisation Bitwarden, consultez auto-héberger une organisation pour commencer.

• Pour plus d'informations, consultez les FAQ sur l'auto-hébergement.

Mettre à jour un serveur auto-hébergé qui a été installé et déployé manuellement est différent de la procédure de mise à jour standard. Pour mettre à jour votre serveur installé manuellement :

1. Téléchargez la dernière archive docker-stub.zip depuis les pages de versions sur GitHub.

2. Décompressez la nouvelle archive docker-stub.zip et comparez son contenu avec ce qui se trouve actuellement dans votre répertoire bwdata, en copiant tout ce qui est nouveau dans les fichiers préexistants de bwdata.
   Ne remplacez pas votre répertoire bwdata existant par le contenu de la nouvelle archive docker-stub.zip, car cela écraserait tout travail de configuration personnalisé que vous avez effectué.

3. Exécutez la commande suivante pour redémarrer votre serveur avec votre configuration mise à jour et les derniers conteneurs :

   Bash
   docker-compose -f ./docker/docker-compose.yml down && docker-compose -f ./docker/docker-compose.yml up -d