Key Connector einsetzen

Dieser Artikel führt Sie durch das Verfahren zur Aktivierung und Konfiguration des Key Connectors in einer bestehenden selbst gehosteten Umgebung. Bevor Sie fortfahren , lesen Sie bitte den Artikel über Key Connector sorgfältig durch, um sicherzustellen, dass Sie vollständig verstehen, was Key Connector ist, wie er funktioniert und welche Auswirkungen die Implementierung hat.

Bitwarden unterstützt die Bereitstellung eines Key Connectors zur Nutzung durch eine Organisation für eine selbst gehostete Instanz.

Anforderungen

warning

Die Verwaltung von kryptografischen Schlüsseln ist unglaublich sensibel und wird nur für Unternehmen mit einem Team und einer Infrastruktur empfohlen, die das sichere Bereitstellen und Verwalten eines Schlüsselservers unterstützen können.

Um Key Connector zu verwenden, müssen Sie:

Wenn Ihre Organisation diese Anforderungen erfüllt oder erfüllen kann, einschließlich eines Teams und einer Infrastruktur, die die Verwaltung eines Schlüsselservers unterstützen kann, kontaktieren Sie uns und wir werden den Key Connector aktivieren.

Einrichten & Bereitstellen von Key Connector

Sobald Sie uns bezüglich Key Connector kontaktiert haben , werden wir uns mit Ihnen in Verbindung setzen, um eine Key Connector-Diskussion zu starten. Die folgenden Schritte in diesem Artikel müssen in Zusammenarbeit mit Bitwarden Kundenerfolgs- und Implementierungsspezialisten abgeschlossen werden.

Erhalten Sie eine neue Lizenzdatei

Sobald Sie uns bezüglich des Key Connectors kontaktiert haben, wird ein Mitglied des Kundenerfolgs- und Implementierungsteams eine Key Connector-aktivierte Lizenzdatei für Ihre Organisation generieren. Wenn Ihr Bitwarden-Mitarbeiter Ihnen mitteilt, dass er bereit ist, führen Sie die folgenden Schritte aus, um die neue Lizenz zu erhalten:

Öffnen Sie die Bitwarden Cloud-Web-App und navigieren Sie zu dem Rechnung → Abonnement Bildschirm Ihrer Organisation im Administrator-Konsole.
Scrollen Sie nach unten und wählen Sie die Schaltfläche Lizenz herunterladen.
Wenn Sie dazu aufgefordert werden, geben Sie die Installations-ID ein, die verwendet wurde, um Ihren selbst gehosteten Server zu installieren, und wählen Sie Absenden. Wenn Sie Ihre Installations-ID nicht auswendig kennen, können Sie diese von ./bwdata/env/global.override.env abrufen.

Sie benötigen Ihre Lizenzdatei nicht sofort, aber Sie müssen sie auf Ihren selbst gehosteten Server in einem späteren Schritt hochladen.

Initialisiere Key Connector

Um Ihren Bitwarden-Server für den Key Connector vorzubereiten:

Speichern Sie mindestens eine Sicherungskopie von .bwdata/mssql. Sobald der Key Connector verwendet wird, wird empfohlen, dass Sie Zugang zu einem Backup-Image vor der Verwendung des Key Connectors haben, falls ein Problem auftritt.
note
Wenn Sie eine externe MSSQL-Datenbank verwenden, erstellen Sie eine Sicherungskopie Ihrer Datenbank auf die Weise, die am besten zu Ihrer Implementierung passt.
Aktualisieren Sie Ihre selbst gehostete Bitwarden-Installation, um die neuesten Änderungen abzurufen:
```
Bash
./bitwarden.sh update
```
Bearbeiten Sie die .bwdata/config.yml Datei und aktivieren Sie Key Connector, indem Sie enable_key_connector auf true umschalten.
```
Bash
nano bwdata/config.yml
```
Bauen Sie Ihre selbst gehostete Bitwarden-Installation neu auf:
```
Bash
./bitwarden.sh rebuild
```
Aktualisieren Sie Ihre selbst gehostete Bitwarden-Installation erneut, um die Änderungen anzuwenden:
```
Bash
./bitwarden.sh update
```

Konfigurieren Sie den Key Connector

Um den Key Connector zu konfigurieren:

Bearbeiten Sie die .bwdata/env/key-connector.override.env Datei, die mit der ./bitwarden.sh Aktualisierung heruntergeladen worden sein wird.
```
Bash
nano bwdata/env/key-connector.override.env
```
warning
Diese Datei wird mit Standardwerten vorbelegt, die eine funktionale lokale Key Connector-Einrichtung starten, jedoch sind die Standardwerte nicht für Produktionsumgebungen empfohlen.
In key-connector.override.env, müssen Sie Werte für Folgendes angeben:
- Endpunkte: Mit welchen Bitwarden Endpunkten der Key Connector kommunizieren kann.
- Datenbank: Wo Key Connector Benutzerschlüssel speichern und abrufen wird.
- RSA-Schlüsselpaar: Wie Key Connector auf ein RSA-Schlüsselpaar zugreifen wird, um Benutzerschlüssel im Ruhezustand zu schützen.

Endpunkte

Die automatisierte Einrichtung wird Endpunkt-Werte basierend auf Ihrer Installationskonfiguration füllen, jedoch wird empfohlen, dass Sie die folgenden Werte in key-connector.override.env bestätigen, die für Ihre Einrichtung genau sind:

Bash
keyConnectorSettings__webVaultUri=https://your.bitwarden.domain.com
keyConnectorSettings__identityServerUri=http://identity:5000

Datenbank

Der Key Connector muss auf eine Datenbank zugreifen, die verschlüsselte Benutzerschlüssel für die Mitglieder Ihrer Organisation speichert. Erstellen Sie eine sichere Datenbank zur Speicherung verschlüsselter Benutzerschlüssel und ersetzen Sie die Standardwerte von keyConnectorSettings__database__ in key-connector.override.env durch die Werte, die in der Spalte Erforderliche Werte für die ausgewählte Datenbank angegeben sind:

warning

Die Migration von einer Datenbank zu einer anderen wird derzeit nicht unterstützt. Unabhängig davon, welchen Anbieter Sie wählen, implementieren Sie einen häufigen automatisierten Backup-Zeitplan für die Datenbank.

Datenbank	Erforderliche Werte
Lokales JSON (Standard)	Nicht empfohlen außerhalb von Tests. `keyConnectorSettings__database__provider=json` `keyConnectorSettings__database__jsonFilePath={File_Path}`
Microsoft SQL Server	`keyConnectorSettings__database__provider=sqlserver` `keyConnectorSettings__database__sqlServerConnectionString={Connection_String}` Lernen Sie, wie Sie MSSQL-Verbindungszeichenfolgen formatieren
PostgreSQL	`keyConnectorSettings__database__provider=postgresql` `keyConnectorSettings__database__postgreSqlConnectionString={Connection_String}` Lernen Sie, wie Sie Verbindungszeichenfolgen für PostgreSQL formatieren
MySQL/MariaDB	`keyConnectorSettings__database__provider=mysql` `keyConnectorSettings__database__mySqlConnectionString={Connection_String}` Lernen Sie, wie Sie MySQL-Verbindungsstrings formatieren
MongoDB	`keyConnectorSettings__database__provider=mongo` `keyConnectorSettings__database__mongoConnectionString={Connection_String}` `keyConnectorSettings__database__mongoDatabaseName={DatabaseName}` Lernen Sie, wie Sie Verbindungsstrings in MongoDB formatieren

RSA-Schlüsselpaar

Key Connector verwendet ein RSA-Schlüsselpaar, um Benutzerschlüssel im Ruhezustand zu schützen. Erstellen Sie ein Schlüsselpaar und ersetzen Sie die Standardwerte keyConnectorSettings__rsaKey__ und keyConnectorSettings__certificate__ in key-connector.override.env durch die für Ihre gewählte Implementierung erforderlichen Werte.

tip

Das RSA-Schlüsselpaar muss mindestens 2048 Bit lang sein.

Im Allgemeinen beinhalten Ihre Optionen, dem Key Connector Zugriff auf ein X509 Zertifikat zu gewähren, das das Schlüsselpaar enthält, oder dem Key Connector direkt Zugriff auf das Schlüsselpaar zu gewähren:

Um ein X509-Zertifikat zu verwenden, das ein RSA-Schlüsselpaar enthält, geben Sie die erforderlichen Werte an, abhängig davon, wo Ihr Zertifikat gespeichert ist (siehe Dateisystem, OS-Zertifikatspeicher und so weiter):

tip

Das Zertifikat muss als PKCS12 .pfx Datei zur Verfügung gestellt werden, zum Beispiel:

Bash
openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout bwkc.key -out bwkc.crt -subj "/CN=Bitwarden Key Connector" -days 36500

openssl pkcs12 -export -out ./bwkc.pfx -inkey bwkc.key -in bwkc.crt -passout pass:{Password}

In allen Zertifikatsimplementierungen benötigen Sie den CN-Wert, der in diesem Beispiel gezeigt wird.

Dateisystem (Standard)

Wenn das Zertifikat auf dem Dateisystem der Maschine gespeichert ist, auf der Key Connector läuft, geben Sie die folgenden Werte an:

note

Standardmäßig wird der Key Connector so konfiguriert, dass er eine .pfx Datei erstellt, die sich unter etc/bitwarden/key-connector/bwkc.pfx befindet, mit einem generierten Passwort. Für Unternehmensimplementierungen wird die Verwendung dieser Standardeinstellungen nicht empfohlen .

Bash
keyConnectorSettings__rsaKey__provider=certificate
keyConnectorSettings__certificate__provider=filesystem
keyConnectorSettings__certificate__filesystemPath={Certificate_Path}
keyConnectorSettings__certificate__filesystemPassword={Certificate_Password}

Azure Blob Speicher

Wenn das Zertifikat auf Azure Blob Storage hochgeladen wird, geben Sie die folgenden Werte an:

Bash
keyConnectorSettings__rsaKey__provider=certificate
keyConnectorSettings__certificate__provider=azurestorage
keyConnectorSettings__certificate__azureStorageConnectionString={Connection_String}
keyConnectorSettings__certificate__azureStorageContainer={Container_Name}
keyConnectorSettings__certificate__azureStorageFileName={File_Name}
keyConnectorSettings__certificate__azureStorageFilePassword={File_Password}

Setzen Sie azureStorageConnectionString auf eine Verbindungszeichenfolge, die Sie in Ihrem Azure-Portal auf der Shared Access Signature (SAS) Seite Ihres Speicherkontos generieren können. Die SAS muss haben:

Erlaubte Dienste: Blob und Datei
Erlaubte Ressourcen-Typen: Service, Container und Objekt
Erlaubte Berechtigungen: Lesen, Schreiben und Auflisten
Erlaubte Blob-Index-Berechtigungen: Lesen/Schreiben und Filtern

Azure Schlüsseltresor

Wenn das Zertifikat im Azure Key Vault gespeichert ist, geben Sie die folgenden Werte an:

note

Um Ihren .pfx Zertifikat im Azure Key Vault zu speichern, müssen Sie eine Active Directory App-Registrierung erstellen. Diese App-Registrierung muss:

Geben Sie delegierte API-Berechtigungen zum Zugriff auf Azure Key Tresor
Lassen Sie ein Client-Geheimnis generieren, um den Zugriff durch den Key Connector zu ermöglichen.

Bash
keyConnectorSettings__certificate__provider=azurekv
keyConnectorSettings__certificate__azureKeyvaultUri={Vault_URI}
keyConnectorSettings__certificate__azureKeyvaultCertificateName={Certificate_Name}
keyConnectorSettings__certificate__azureKeyvaultAdTenantId={ActiveDirectory_TenantId}
keyConnectorSettings__certificate__azureKeyvaultAdAppId={AppRegistration_ApplicationId}
keyConnectorSettings__certificate__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}

Hashicorp Tresor

Wenn das Zertifikat im Hashicorp Tresor gespeichert ist, geben Sie die folgenden Werte an:

note

Key Connector integriert sich mit dem Hashicorp Tresor KV2 Speicher-Engine. Gemäß dem oberen Teil dieses Tabs sollte die Zertifikatsdatei im PKCS12-Format vorliegen und base64-kodiert als Wert für einen benannten Schlüssel in Ihrem Tresor gespeichert sein. Wenn Sie einem Tresor-Tutorial für den KV2-Speichermotor folgen, kann der Schlüsselname Datei sein, sofern nicht anders angegeben.

Bash
keyConnectorSettings__rsaKey__provider=certificate
keyConnectorSettings__certificate__provider=vault
keyConnectorSettings__certificate__vaultServerUri={Server_URI}
keyConnectorSettings__certificate__vaultToken={Token}
keyConnectorSettings__certificate__vaultSecretMountPoint={Secret_MountPoint}
keyConnectorSettings__certificate__vaultSecretPath={Secret_Path}
keyConnectorSettings__certificate__vaultSecretDataKey={Secret_DataKey}
keyConnectorSettings__certificate__vaultSecretFilePassword={Secret_FilePassword}

Um einen Cloud-Anbieter oder ein physisches Gerät zur Speicherung eines RSA 2048 Schlüsselpaars zu verwenden, geben Sie die erforderlichen Werte an, abhängig von Ihrer gewählten Implementierung (siehe Azure Key Tresor, Google Cloud Schlüsselverwaltung und so weiter):

Azure Schlüsseltresor

Wenn Sie Azure Key Vault verwenden, um ein RSA 2048 Schlüsselpaar zu speichern, geben Sie die folgenden Werte an:

note

Um Azure Key Vault zur Speicherung Ihres RSA 2048 Schlüssels zu verwenden, müssen Sie eine Active Directory App-Registrierung erstellen. Diese App-Registrierung muss:

Geben Sie delegierte API-Berechtigungen zum Zugriff auf Azure Key Tresor
Lassen Sie ein Client-Geheimnis generieren, um den Zugriff durch den Key Connector zu ermöglichen.

Bash
keyConnectorSettings__rsaKey__provider=azurekv
keyConnectorSettings__rsaKey__azureKeyvaultUri={Vault_URI}
keyConnectorSettings__rsaKey__azureKeyvaultKeyName={Key_Name}
keyConnectorSettings__rsaKey__azureKeyvaultAdTenantId={ActiveDirectory_TenantId}
keyConnectorSettings__rsaKey__azureKeyvaultAdAppId={AppRegistration_ApplicationId}
keyConnectorSettings__rsaKey__azureKeyvaultAdSecret={AppRegistration_ClientSecretValue}

Lernen Sie, wie Sie Azure Key Vault verwenden, um ein Schlüsselpaar zu erstellen.

Google Cloud Schlüsselverwaltung

Wenn Sie Google Cloud Key Management verwenden, um ein RSA 2048 Schlüsselpaar zu speichern, geben Sie die folgenden Werte an:

Bash
keyConnectorSettings__rsaKey__provider=gcpkms
keyConnectorSettings__rsaKey__googleCloudProjectId={Project_Id}
keyConnectorSettings__rsaKey__googleCloudLocationId={Location_Id}
keyConnectorSettings__rsaKey__googleCloudKeyringId={Keyring_Id}
keyConnectorSettings__rsaKey__googleCloudKeyId={Key_Id}
keyConnectorSettings__rsaKey__googleCloudKeyVersionId={KeyVersionId}

Lernen Sie, wie Sie den Google Cloud Key Management Service verwenden, um Schlüsselringe und asymmetrische Schlüssel zu erstellen.

AWS Schlüsselverwaltungsdienst

Wenn Sie den AWS Key Management Service (KMS) verwenden, um ein RSA 2048 Schlüsselpaar zu speichern, geben Sie die folgenden Werte an:

Bash
keyConnectorSettings__rsaKey__provider=awskms
keyConnectorSettings__rsaKey__awsAccessKeyId={AccessKey_Id}
keyConnectorSettings__rsaKey__awsAccessKeySecret={AccessKey_Secret}
keyConnectorSettings__rsaKey__awsRegion={Region_Name}
keyConnectorSettings__rsaKey__awsKeyId={Key_Id}

Lernen Sie, wie Sie AWS KMS zur Erstellung asymmetrischer Schlüssel verwenden können.

PKCS11 Physischer HSM

Wenn Sie ein physisches HSM-Gerät mit dem PKCS11-Anbieter verwenden, geben Sie die folgenden Werte an:

Bash
keyConnectorSettings__rsaKey__provider=pkcs11
keyConnectorSettings__rsaKey__pkcs11Provider={Provider}
keyConnectorSettings__rsaKey__pkcs11SlotTokenSerialNumber={Token_SerialNumber}
keyConnectorSettings__rsaKey__pkcs11LoginUserType={Login_UserType}
keyConnectorSettings__rsaKey__pkcs11LoginPin={Login_PIN}

ONE OF THE FOLLOWING TWO:
keyConnectorSettings__rsaKey__pkcs11PrivateKeyLabel={PrivateKeyLabel}
keyConnectorSettings__rsaKey__pkcs11PrivateKeyId={PrivateKeyId}

OPTIONALLY:
keyConnectorSettings__rsaKey__pkcs11LibraryPath={path/to/library/file}

Wo:

{Provider} kann yubihsm oder opensc sein
{Login_UserType} kann Benutzer, so, oder kontextspezifisch sein

note

Wenn Sie den PKCS11-Anbieter verwenden, um Ihren privaten Schlüssel auf einem HSM-Gerät zu speichern, muss der zugehörige öffentliche Schlüssel verfügbar gemacht und als Zertifikat konfiguriert werden, unter Verwendung einer der Optionen, die im Zertifikate Tab gefunden werden können.

Aktivieren Sie den Key Connector

Jetzt, da Key Connector vollständig konfiguriert ist und Sie eine Key Connector-fähige Lizenz haben, führen Sie die folgenden Schritte aus:

Starten Sie Ihre selbst gehostete Bitwarden-Installation neu, um die Konfigurationsänderungen anzuwenden:
```
Bash
./bitwarden.sh restart
```
Melden Sie sich als Organisationsinhaber bei Ihrem selbst gehosteten Bitwarden an und navigieren Sie zum Bildschirm „Abrechnung“ → „Abonnement“ der Admin-Konsole.
Wählen Sie die Schaltfläche Lizenz aktualisieren und laden Sie die Key Connector-aktivierte Lizenz hoch, die in einem früheren Schritt abgerufen wurde.
Wenn Sie es noch nicht getan haben, navigieren Sie zu dem Einstellungen → Richtlinien Bildschirm und aktivieren Sie die Einzelne Organisation und Einfache Anmeldungsauthentifizierung erforderlich Richtlinien. Beide sind erforderlich, um Key Connector zu verwenden .
Navigieren Sie zu dem Einstellungen → Einmaliges Anmelden Bildschirm.
tip
Die nächsten Schritte setzen voraus, dass Sie bereits eine aktive Zugangsdaten mit SSO Implementierung mit SAML 2.0 oder OIDC haben. Wenn Sie dies nicht tun , implementieren und testen Sie bitte die Anmeldung mit SSO, bevor Sie fortfahren.
Im Abschnitt Entschlüsselungsoptionen für Mitglieder, wählen Sie Key Connector.
Geben Sie in der Eingabe für die Key Connector URL die Adresse ein, unter der Key Connector läuft (standardmäßig https://your.domain/key-connector) und wählen Sie die Test Schaltfläche aus, um sicherzustellen, dass Sie Key Connector erreichen können.
Scrollen Sie zum unteren Rand des Bildschirms und wählen Sie Speichern.

Änderungen an dieser Seite vorschlagen

Wie können wir diese Seite für Sie verbessern?
Bei technischen, Rechnungs- und Produktfragen wenden Sie sich bitte an den Support



Key Connector einsetzen

Anforderungen

warning

Einrichten & Bereitstellen von Key Connector

Erhalten Sie eine neue Lizenzdatei

Initialisiere Key Connector

note

Konfigurieren Sie den Key Connector

warning

Endpunkte

Datenbank

warning

RSA-Schlüsselpaar

tip

tip

Dateisystem (Standard)

note

Azure Blob Speicher

Azure Schlüsseltresor

note

Hashicorp Tresor

note

Azure Schlüsseltresor

note

Google Cloud Schlüsselverwaltung

AWS Schlüsselverwaltungsdienst

PKCS11 Physischer HSM

note

Aktivieren Sie den Key Connector

tip

Änderungen an dieser Seite vorschlagen

Cloud-Status