Windows offline implementatie

Dit artikel leidt je door de procedure voor het installeren en implementeren van Bitwarden op je eigen Windows-server in een offline of air-gapped omgeving. Raadpleeg de documentatie voor ondersteuning bij het uitbrengen van Bitwarden software.

Controleer voordat u verdergaat met de installatie of aan de volgende vereisten is voldaan:

• Docker Engine en Docker Compose zijn geïnstalleerd en klaar voor gebruik op je server. Tijdens deze installatie moet u de optie WSL2 gebruiken in plaats van Hyper-V (aanbevolen) uitvinken.

• Op een machine met internetverbinding heb je het nieuwste docker-stub.zip-bestand gedownload van de Bitwarden Server repository's releases pagina en dit bestand overgezet naar je server.

• Er is een offline SMTP-server ingesteld en actief in uw omgeving.

• (Optioneel) OpenSSL Windows binaries zijn geïnstalleerd en klaar voor gebruik op je server. U kunt een zelfondertekend certificaat gebruiken in plaats van OpenSSL als u dat wilt.

Bitwarden draaien op een Windows Server vereist het gebruik van geneste virtualisatie. Raadpleeg de documentatie van uw Hypervisor om na te gaan of geneste virtualisatie wordt ondersteund en hoe u dit kunt inschakelen.

Standaard wordt Bitwarden aangeboden via de poorten 80(http) en 443(https) op de hostmachine. Open deze poorten zodat Bitwarden toegankelijk is van binnen en/of buiten het netwerk. Je kunt ervoor kiezen om andere poorten te kiezen tijdens de installatie.

We raden aan een domeinnaam te configureren met DNS-records die verwijzen naar uw hostmachine (bijvoorbeeld bitwarden.example.com), vooral als u Bitwarden via internet aanbiedt.

Open PowerShell en maak een lokale Bitwarden-gebruiker aan door de volgende opdracht uit te voeren:

BashCopy
PS C:\> $Password = Read-Host -AsSecureString

Voer na het uitvoeren van de bovenstaande opdracht het gewenste wachtwoord in het tekstinvoerdialoogvenster in. Voer het volgende commando uit nadat u een wachtwoord hebt opgegeven:

BashCopy
New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

Maak als de nieuw aangemaakte gebruiker een Bitwarden-map aan onder C:¦:

BashCopy
PS C:\> mkdir Bitwarden

Zodra je Docker Desktop hebt geïnstalleerd, navigeer je naar Instellingen → Resources → Bestandsdeling en voeg je de aangemaakte map(C:\Bitwarden) toe aan de lijst met Resources. Selecteer Toepassen & opnieuw opstarten om uw wijzigingen toe te passen.

We raden u aan om in te loggen als de nieuw aangemaakte gebruiker voordat u alle volgende procedures in dit document uitvoert.

Om uw machine te configureren met de middelen die nodig zijn voor uw Bitwarden-server:

1. Maak een nieuwe map aan in C:\Bitwarden met de naam bwdata en pak docker-stub.zip daarin uit.
   
   Eenmaal uitgepakt zal de map bwdata overeenkomen met wat de volumetoewijzing van het docker-compose.yml-bestand verwacht. U kunt, indien gewenst, de locatie van deze toewijzingen op de hostmachine wijzigen.

2. Bewerk in bwdata\envlobal.override.env de volgende omgevingsvariabelen:

   • globalSettings__baseServiceUri__vault=: Voer het domein van uw Bitwarden-instantie in.

   • globalSettings__sqlServer__ConnectionString=: Vervang het RANDOM_DATABASE_PASSWORD door een veilig wachtwoord voor gebruik in een latere stap.

   • globalSettings__identityServer__certificatePassword=: Stel een veilig certificaatwachtwoord in voor gebruik in een latere stap.

   • globalSettings__internalIdentityKey=: Vervang RANDOM_IDENTITY_KEY door een willekeurige sleutelreeks.

   • globalSettings__oidcIdentityClientKey=: Vervang RANDOM_IDENTITY_KEY door een willekeurige sleuteltekenreeks.

   • globalSettings__duo__aKey=: Vervang RANDOM_DUO_AKEY door een willekeurige sleuteltekenreeks.

   • globalSettings__installation__id=: Voer een installatie-id in die is opgehaald van https://bitwarden.com/host.

   • globalSettings__installation__key=: Voer een installatiesleutel in die is opgehaald van https://bitwarden.com/host.

   • globalSettings__pushRelayBaseUri=: Deze variabele moet leeg zijn. Zie Push Relay configureren voor meer informatie.

     tip

     Overweeg op dit moment ook om waarden in te stellen voor alle globalSettings__mail__smtp__ variabelen en voor adminSettings__admins. Hierdoor wordt de SMTP-mailserver geconfigureerd die wordt gebruikt om uitnodigingen naar nieuwe organisatieleden te sturen en toegang te verlenen tot het systeembeheerdersportaal.

     Meer informatie over omgevingsvariabelen.

3. Genereer een identity.pfx certificaat voor de identity container. Je kunt OpenSSL gebruiken of een ander hulpmiddel om een zelfondertekend certificaat te genereren. Als je OpenSSL gebruikt, voer dan de volgende commando's uit:

   BashCopy
   openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout identity.key -out identity.crt -subj "/CN=Bitwarden IdentityServer" -days 10950

   en

   BashCopy
   openssl pkcs12 -export -out ./identity/identity.pfx -inkey identity.key -in identity.crt -passout pass:IDENTITY_CERT_PASSWORD

   Vervang in het bovenstaande commando IDENTITY_CERT_PASSWORD door het certificaatwachtwoord dat in stap 2 is aangemaakt en gebruikt.

4. Verplaats identity.pfx naar de map van het gemapte volume (standaard .\bwdata\identity).

5. Kopieer identity.pfx naar de map .\bwdata.

6. Maak een subdirectory in .\bwdata\ssl met de naam van je domein.

7. Zorg voor een vertrouwd SSL-certificaat en privésleutel in de nieuw aangemaakte subdirectory .\bwdata\sslbitwarden.example.com.

   noot

   Deze map is gekoppeld aan de NGINX container op \etc\ssl. Als u geen vertrouwd SSL-certificaat kunt leveren, sluit de installatie dan af met een proxy die een HTTPS-eindpunt biedt aan Bitwarden-clienttoepassingen.

8. In :

   1. Vervang alle instanties van bitwarden.example.com door jouw domein, ook in de header Content-Security-Policy.

   2. Stel de variabelen ssl_certificate en ssl_certificate_key in op de paden van het certificaat en de privésleutel uit stap 6.

   3. Neem een van de volgende acties, afhankelijk van uw certificaatinstelling:

      • Als u een vertrouwd SSL-certificaat gebruikt, stel dan de variabele ssl_trusted_certificate in op het pad naar uw certificaat.

      • Als u een zelfondertekend certificaat gebruikt, moet u de variabelen ssl_trusted_certificate uitcommentariëren.

9. Vervang RANDOM_DATABASE_PASSWORD in .\bwdata.env door het wachtwoord dat in stap 2 is gemaakt.

10. Vervang bitwarden.example.com in .json door je eigen domein.

Om docker images te krijgen voor gebruik op je offline machine:

1. Download vanaf een machine met internetverbinding alle bitwarden/xxx:latest docker images, zoals vermeld in het docker-compose.yml bestand in docker-stub.zip.

2. Sla elke afbeelding bijvoorbeeld op in een .img-bestand:

   BashCopy
   docker image save -o mssql.img bitwarden/mssql:version

3. Zet alle .img-bestanden over naar je offline machine.

4. Laad op je offline machine elk .img bestand om bijvoorbeeld je lokale docker images te maken:

   BashCopy
   docker image load -i mssql.img

Start uw Bitwarden-server met het volgende commando:

BashCopy
docker compose -f ./docker/docker-compose.yml up -d

Controleer of alle containers correct draaien:

BashCopy
docker ps

Gefeliciteerd! Bitwarden is nu actief op https://your.domain.com. Bezoek de webkluis in je browser om te controleren of deze werkt.

Je kunt nu een nieuwe account registreren en inloggen. U moet SMTP-omgevingsvariabelen hebben geconfigureerd (zie Omgevingsvariabelen) om de e-mail voor uw nieuwe account te kunnen verifiëren.

• Als u van plan bent om zelf een Bitwarden-organisatie te hosten, zie dan Zelf een organisatie hosten om te beginnen.

• Zie voor meer informatie de veelgestelde vragen over zelf hosten.

Het bijwerken van een zelf gehoste server die handmatig is geïnstalleerd en uitgerold, is anders dan de standaard updateprocedure. Om je handmatig geïnstalleerde server bij te werken:

1. Download het nieuwste docker-stub.zip archief van de releases pagina's op GitHub.

2. Pak het nieuwe docker-stub.zip archief uit en vergelijk de inhoud met wat er momenteel in je bwdata map staat. Kopieer alles wat nieuw is naar de reeds bestaande bestanden in bwdata.
   Overschrijf uw reeds bestaande bwdata directory niet met de inhoud van het nieuwere docker-stub.zip archief, aangezien dit al het aangepaste configuratiewerk dat u hebt gedaan zou overschrijven.

3. Download de nieuwste container images en zet ze over naar je offline machine zoals hierboven beschreven.

4. Voer het volgende commando uit om je server opnieuw te starten met je bijgewerkte configuratie en de nieuwste containers:

   BashCopy
   docker compose -f ./docker/docker-compose.yml down && docker compose -f ./docker/docker-compose.yml up -d