Sådan fungerer sslbrain

Arkitektur, sikkerhed og dataflow.

sslbrain Cloud og din sslbrain

Din sslbrain kører lokalt hos dig. Cloud udsteder certifikaterne og leverer dem tilbage.

Din sslbrain Lokalt i dit netværk Beder om certifikater Installerer på dine servere Jeres data forlader aldrig huset sslbrain Cloud EU-hostet Udsteder certifikater via ACME eller direkte CA-API Sender dem retur via HTTPS HTTPS Cloud kan ikke nå ind til din sslbrain. Al kommunikation starter hos dig. En kopieret database kan ikke åbnes uden den korrekte oplåsning.

sslbrain og dine servere

To modeller: push via SSH eller WinRM, eller pull via Windows Service Agent.

Din sslbrain Orkestrator Linux-servere Apache, Nginx, HAProxy Netværksudstyr FortiGate, NetScaler, F5 Windows-servere IIS, Exchange, ADFS, RDP Cloud-platforme Azure, AWS, GCP, Cloudflare Windows Service Agent Henter selv opgaver, ingen indgående porte SSH SSH / REST REST API WinRM HTTPS pull initieret af agenten Push sslbrain forbinder ud via SSH eller WinRM. Pull Service Agent henter opgaver hjem via HTTPS. Ingen porte åbnes ind mod dine servere.

sslbrain håndterer alle platforme med certifikater fra ét sted, uanset om det er Windows, Linux, netværksudstyr eller cloud-tjenester.

ACME Cloud certifikatflow

sslbrain Cloud vælger automatisk den billigste CA og håndterer failover.

Din sslbrain Anmoder om certifikat HTTPS sslbrain Cloud Vælger billigste CA Prøver næste CA ved fejl Gratis CA Let's Encrypt, Google Trust Services Betalt CA DigiCert, GlobalSign, Sectigo Sådan fungerer flowet: 1 Din sslbrain sender en certifikatanmodning til ACME Cloud. 2 Cloud vælger automatisk den billigste tilgængelige CA for dit domæne. 3 Ved fejl skifter Cloud til næste tilgængelige CA. 4 Gratis CA'er bruges direkte. Betalte CA'er kræver enhedslicens.

Vault og kryptering

Al lokal data krypteres. Krypteringsnøglerne ligger i sslbrain Cloud Vault.

sslbrain Cloud EU-hostet nøgleopbevaring Cloud-nøgle (aktuel) Låser din lokale hovednøgle op Tidligere Cloud-nøgler Gemmes, så ældre backups kan gendannes Hentes ved opstart slettes igen fra hukommelsen Din sslbrain (lokal installation) Lokal hovednøgle Krypteret med Cloud-nøglen Backup-kopi Krypteret med din backup-nøgle Backup-nøgle (papir) Udleveret ved installation. Cloud har den ikke. Hovednøglen ligger kun hos dig, og cloud opbevarer kun en oplåsningsnøgle uden adgang til dine data. Gendannelse fra ældre backup virker stadig, fordi tidligere oplåsningsnøgler bevares.

To måder at låse op på

Ved opstart henter sslbrain oplåsningsnøglen fra cloud, åbner den lokale kryptering og fjerner nøglen fra hukommelsen igen. Hvis du gendanner fra et ældre backup-snapshot, bruger cloud automatisk en tidligere nøgle til at åbne det. Mister du forbindelsen til cloud, kan du bruge den papirbackup, vi udleverede ved installation. Den ligger ikke hos os.

Beskyttelse mod kopiering

En kopi af din database virker ikke på en anden maskine. Cloud genkender den oprindelige installation, og en gendannelse skal om nødvendigt bekræftes af kontoejeren.

Agent-signering

Alle scripts signeres med ECDSA P-384 via fysisk YubiKey. Ingen kode kører usigneret.

Udvikler Skriver agent Kodegennemgang To-mands kontrol YubiKey ECDSA P-384-signatur sslbrain Cloud Distribution Din sslbrain Verificerer Community-scripts: Gennemgået af FairSSL inden signering. Hvis vi signerer det, har vi gennemgået koden.

du bestemmer hvad agenterne må køre

Hver server har sit eget regelsæt for hvilke scripts der må eksekveres. Reglerne kan låses centralt via Group Policy.

FairSSL-signeret: kun scripts signeret af FairSSL
Community: community-scripts godkendt af FairSSL
Egne scripts: dine egne scripts, signerede eller ej
Frys koden: afvis alt signeret efter en valgt dato

Kodetransparens

Alt kan inspiceres. Ingen skjult kode, ingen black boxes.

sslbrain Source-available. Al kode kan læses. Agents YAML + scripts. Synlige i UI og på GitHub. Windows Service Agent Signeret Windows-tjeneste. Afviser usignerede scripts. ACME mod CA Håndteres af sslbrain. Source-available. Alt kan inspiceres, fra sslbrain-kildekoden til de scripts der kører på dine servere Netværksloggen viser alle udgående forbindelser. Ingen telemetri, ingen skjulte kald.

Prøv sslbrain

Skriv dig på listen, så får du besked, så snart Community kan installeres.

Skriv dig op Se priser
Spørgsmål om arkitektur eller sikkerhedsmodel? Kontakt os direkte.