Sleutelconnector implementeren
Dit artikel leidt je door de procedure voor het inschakelen en configureren van Key Connector in een bestaande zelfgehoste omgeving. Lees voordat u verder gaat het artikel over Key Connector grondig door, zodat u volledig begrijpt wat Key Connector is, hoe het werkt en wat de gevolgen van implementatie zijn.
Bitwarden ondersteunt de implementatie van één Key Connector voor gebruik door één organisatie voor een zelf gehoste instantie.
waarschuwing
Management of cryptographic keys is incredibly sensitive and is only recommended for enterprises with a team and infrastructure that can securely support deploying and managing a key server.
Om Key Connector te gebruiken moet je:
Een actieve SSO-implementatie hebben.
Activeer de beleidsregels Eén organisatie en Eén aanmelding vereisen.
Als jouw organisatie aan deze eisen voldoet of kan voldoen, inclusief een team en infrastructuur die het beheer van een keyserver kan ondersteunen, neem dan contact met ons op en dan activeren we Key Connector.
Zodra je contact met ons hebt opgenomen over Key Connector, nemen we contact met je op om een Key Connector-gesprek te starten. De stappen die volgen in dit artikel moeten worden uitgevoerd in samenwerking met de Bitwarden customer success & implementatie specialisten.
Zodra u contact met ons heeft opgenomen over Key Connector, zal een lid van het customer success & implementatie team een Key Connector licentiebestand voor uw organisatie genereren. Wanneer uw Bitwarden-medewerker aangeeft dat het klaar is, voert u de volgende stappen uit om de nieuwe licentie te verkrijgen:
Open de Bitwarden cloud-webapp en navigeer naar het scherm Facturering → Abonnement van uw organisatie in de beheerconsole.
Scroll naar beneden en selecteer de knop Licentie downloaden.
Voer wanneer daarom wordt gevraagd de installatie-ID in die is gebruikt om uw zelf gehoste server te installeren en selecteer Submit. Als u uw installatie-ID niet direct weet, kunt u deze ophalen uit
./bwdata/env/global.override.env.
Je hebt je licentiebestand niet meteen nodig, maar je zult het in een latere stap moeten uploaden naar je zelf gehoste server.
Om uw Bitwarden-server voor te bereiden op Key Connector:
Sla een back-up op van ten minste
.bwdata/mssql. Zodra Key Connector in gebruik is, is het aan te raden om toegang te hebben tot een pre-Key Connector back-up image in geval van een probleem.noot
Als je een externe MSSQL-database gebruikt, maak dan een back-up van je database op een manier die past bij jouw implementatie.
Werk uw zelf gehoste Bitwarden-installatie bij om de laatste wijzigingen op te halen:
Bash./bitwarden.sh updateBewerk het bestand
.bwdata/config.ymlen schakel Key Connector in doorenable_key_connectoroptruete zetten.Bashnano bwdata/config.ymlHerbouw uw zelf gehoste Bitwarden-installatie:
Bash./bitwarden.sh rebuildUpdate uw zelf gehoste Bitwarden-installatie opnieuw om de wijzigingen toe te passen:
Bash./bitwarden.sh update
Om Key Connector te configureren:
Bewerk het
.bwdata/env/key-connector.override.envbestand dat is gedownload met de./bitwarden.sh update.Bashnano bwdata/env/key-connector.override.envwaarschuwing
This file will be pre-populated with default values that will spin up a functional local Key Connector setup, however the default values are not recommended for production environments.
In
key-connector.override.envmoet je waarden opgeven voor het volgende:Eindpunten: Met welke Bitwarden eindpunten Key Connector kan communiceren.
Database: Waar Key Connector gebruikerssleutels opslaat en ophaalt.
RSA sleutelpaar: Hoe Key Connector toegang krijgt tot een RSA sleutelpaar om gebruikerssleutels in rust te beschermen.
Eindpunten
De geautomatiseerde installatie zal de eindpuntwaarden invullen op basis van uw installatieconfiguratie, maar het wordt aanbevolen om te controleren of de volgende waarden in key-connector.override.env juist zijn voor uw installatie:
BashkeyConnectorSettings__webVaultUri=https://your.bitwarden.domain.com keyConnectorSettings__identityServerUri=http://identity:5000
Database
Key Connector moet toegang krijgen tot een database waarin gecodeerde gebruikerssleutels voor de leden van je organisatie worden opgeslagen. Maak een beveiligde database aan om versleutelde gebruikerssleutels in op te slaan en vervang de standaardwaarden van keyConnectorSettings__database__ in key-connector.override.env door de waarden in de kolom Required Values voor de gekozen database:
waarschuwing
Migration from one database to another is not supported at this time. Regardless of which provider you choose, implement a frequent automated backup schedule for the database.
Database | Vereiste waarden |
|---|---|
Lokale JSON(standaard) | Niet aanbevolen buiten testen.
|
Microsoft SQL Server |
|
PostgreSQL |
|
MySQL/MariaDB |
|
MongoDB |
|
RSA sleutelpaar
Key Connector gebruikt een RSA sleutelpaar om gebruikerssleutels in rust te beschermen. Maak een sleutelpaar aan en vervang de standaardwaarden voor keyConnectorSettings__rsaKey__ en keyConnectorSettings__certificate__ in key-connector.override.env door de waarden die vereist zijn voor de door u gekozen implementatie.
tip
The RSA key pair must be at a minimum 2048 bits in length.
Over het algemeen kunt u Key Connector toegang geven tot een X509 Certificaat dat het sleutelpaar bevat of Key Connector rechtstreeks toegang geven tot het sleutelpaar:
To use an X509 certificate that contains an RSA key pair, specify the values required depending on the location where your certificate is stored (see Filesystem, OS Certificate Store, and so on):
tip
The certificate must be made available as a PKCS12 .pfx file, for example:
Bashopenssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout bwkc.key -out bwkc.crt -subj "/CN=Bitwarden Key Connector" -days 36500
openssl pkcs12 -export -out ./bwkc.pfx -inkey bwkc.key -in bwkc.crt -passout pass:{Password}In all certificate implementations, you'll need the CN value shown in this example.
Filesystem (default)
If the certificate is stored on the filesystem of the machine running Key Connector, specify the following values:
noot
By default, Key Connector will be configured to create a .pfx file located at etc/bitwarden/key-connector/bwkc.pfx with a generated password. It is not recommended for enterprise implementations to use these defaults.
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=filesystem keyConnectorSettings__certificate__filesystemPath={Certificate_Path} keyConnectorSettings__certificate__filesystemPassword={Certificate_Password}
Azure Blob Storage
If the certificate is uploaded to Azure Blob Storage, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=azurestorage keyConnectorSettings__certificate__azureStorageConnectionString={Connection_String} keyConnectorSettings__certificate__azureStorageContainer={Container_Name} keyConnectorSettings__certificate__azureStorageFileName={File_Name} keyConnectorSettings__certificate__azureStorageFilePassword={File_Password}
Set azureStorageConnectionString to a Connection string you can generate in your Azure portal from the Shared access signature (SAS) page of your storage account. The SAS must have:
Allowed services: Blob and File
Allowed resource types: Service, Container, and Object
Allowed permissions: Read, Write, and List
Allowed blob index permissions: Read/Write and Filter
Azure Key Vault
If certificate is stored in Azure Key Vault, specify the following values:
noot
To use Azure Key Vault to store your .pfx certificate, you'll need to create an Active Directory App Registration. This App Registration must:
Give delegated API permissions to access Azure Key Vault
Have a client secret generated to allow access by Key Connector
BashkeyConnectorSettings__certificate__provider=azurekv keyConnectorSettings__certificate__azureKeyvaultUri={Vault_URI} keyConnectorSettings__certificate__azureKeyvaultCertificateName={Certificate_Name} keyConnectorSettings__certificate__azureKeyvaultAdTenantId={ActiveDirectory_TenantId} keyConnectorSettings__certificate__azureKeyvaultAdAppId={AppRegistration_ApplicationId} keyConnectorSettings__certificate__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}
Hashicorp Vault
If the certificate is stored in Hashicorp Vault, specify the following values:
noot
Key Connector integrates with the Hashicorp Vault KV2 Storage Engine. As per the top of this tab, the certificate file should be in PKCS12 format and stored base64-encoded as the value to a named key in your Vault. If following a Vault tutorial for the KV2 Storage Engine, the key name may be file unless otherwise specified.
BashkeyConnectorSettings__rsaKey__provider=certificate keyConnectorSettings__certificate__provider=vault keyConnectorSettings__certificate__vaultServerUri={Server_URI} keyConnectorSettings__certificate__vaultToken={Token} keyConnectorSettings__certificate__vaultSecretMountPoint={Secret_MountPoint} keyConnectorSettings__certificate__vaultSecretPath={Secret_Path} keyConnectorSettings__certificate__vaultSecretDataKey={Secret_DataKey} keyConnectorSettings__certificate__vaultSecretFilePassword={Secret_FilePassword}
To use a cloud provider or physical device to store to a RSA 2048 key pair, specify the values required depending on your chosen implementation (see Azure Key Vault, Google Cloud Key Management, and so on):
Azure Key Vault
If you are using Azure Key Vault to store a RSA 2048 key pair, specify the following values:
noot
To use Azure Key Vault to store your RSA 2048 key, you'll need to create an Active Directory App Registration. This App Registration must:
Give delegated API permissions to access Azure Key Vault
Have a client secret generated to allow access by Key Connector
BashkeyConnectorSettings__rsaKey__provider=azurekv keyConnectorSettings__rsaKey__azureKeyvaultUri={Vault_URI} keyConnectorSettings__rsaKey__azureKeyvaultKeyName={Key_Name} keyConnectorSettings__rsaKey__azureKeyvaultAdTenantId={ActiveDirectory_TenantId} keyConnectorSettings__rsaKey__azureKeyvaultAdAppId={AppRegistration_ApplicationId} keyConnectorSettings__rsaKey__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}
Learn how to use Azure Key Vault to create a key pair
Google Cloud Key Management
If you are using Google Cloud Key Management to store a RSA 2048 key pair, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=gcpkms keyConnectorSettings__rsaKey__googleCloudProjectId={Project_Id} keyConnectorSettings__rsaKey__googleCloudLocationId={Location_Id} keyConnectorSettings__rsaKey__googleCloudKeyringId={Keyring_Id} keyConnectorSettings__rsaKey__googleCloudKeyId={Key_Id} keyConnectorSettings__rsaKey__googleCloudKeyVersionId={KeyVersionId}
Learn how to use Google Cloud Key Management Service to create key rings and asymmetric keys
AWS Key Management Service
If you are using AWS Key Management Service (KMS) to store a RSA 2048 key pair, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=awskms keyConnectorSettings__rsaKey__awsAccessKeyId={AccessKey_Id} keyConnectorSettings__rsaKey__awsAccessKeySecret={AccessKey_Secret} keyConnectorSettings__rsaKey__awsRegion={Region_Name} keyConnectorSettings__rsaKey__awsKeyId={Key_Id}
Learn how to use AWS KMS to create asymmetric keys
PKCS11 Physical HSM
If you are using a physical HSM device with the PKCS11 provider, specify the following values:
BashkeyConnectorSettings__rsaKey__provider=pkcs11 keyConnectorSettings__rsaKey__pkcs11Provider={Provider} keyConnectorSettings__rsaKey__pkcs11SlotTokenSerialNumber={Token_SerialNumber} keyConnectorSettings__rsaKey__pkcs11LoginUserType={Login_UserType} keyConnectorSettings__rsaKey__pkcs11LoginPin={Login_PIN} ONE OF THE FOLLOWING TWO: keyConnectorSettings__rsaKey__pkcs11PrivateKeyLabel={PrivateKeyLabel} keyConnectorSettings__rsaKey__pkcs11PrivateKeyId={PrivateKeyId}
Where:
{Provider}can beyubihsmoropensc{Login_UserType}can beuser,so, orcontext_specific
noot
If you are using the PKCS11 provider to store your private key on an HSM device, the associated public key must be made available and configured as a certificate using any of the options found in the Certificates tab.
Nu Key Connector volledig is geconfigureerd en je een Key Connector-licentie hebt, kun je de volgende stappen uitvoeren:
Start uw zelf gehoste Bitwarden-installatie opnieuw op om de configuratiewijzigingen toe te passen:
Bash./bitwarden.sh restartLog in op uw zelf gehoste Bitwarden als eigenaar van de organisatie en navigeer naar het scherm Facturering → Abonnement in de beheerconsole.
Selecteer de knop Licentie bijwerken en upload de Key Connector-licentie die je in een eerdere stap hebt opgehaald.
Als je dat nog niet hebt gedaan, ga dan naar het scherm Instellingen → Beleid en schakel de beleidsregels Eenmalige organisatie en Eenmalige aanmeldingsverificatie vereisen in. Beide zijn vereist om Key Connector te gebruiken.
Navigeer naar het scherm Instellingen → Eenmalige aanmelding.
tip
The next few steps assume that you already have an active login with SSO implementation using SAML 2.0 or OIDC. If you don't, please implement and test login with SSO before proceeding.
Selecteer Key Connector in de sectie Ontcijferingsopties voor leden.
Voer in de Key Connector URL-invoer het adres in waarop Key Connector wordt uitgevoerd (standaard
https://your.domain/key-connector)en selecteer de knop Test om ervoor te zorgen dat je Key Connector kunt bereiken.Scroll naar de onderkant van het scherm en selecteer Opslaan.