Adgang
sslbrain forbinder til endpoints via flere metoder afhængigt af platformen. Denne side dækker opsætning af hver forbindelsestype og håndtering af credentials.
| Metode | Retning | Platform |
|---|---|---|
| SSH | Push | Linux, appliances (FortiGate, ESXi, pfSense) |
| WinRM | Push | Windows (alternativ til Service Agent) |
| Windows Service | Pull | Windows (anbefalet) |
| API | Push | Cloud-platforme, NetScaler, vCenter |
SSH
Standardmetoden for Linux-servere og appliances der understøtter SSH. sslbrain forbinder direkte og kører agenten på endpointet.
Login
Opret en credential i sslbrain med brugernavn og adgangskode eller SSH-nøgle. Brugeren skal have rettigheder til at skrive certifikatfiler og genstarte services.
Anbefalet: opret en dedikeret servicebruger (f.eks. sslbrain-svc) med kun de nødvendige rettigheder. Brug aldrig en personlig admin-konto.
sudo useradd -r -m -s /bin/bash sslbrain-svcGiv adgang til webserver-konfiguration og certifikatfiler:
# Læse Nginx/Apache-konfiguration
sudo usermod -aG www-data sslbrain-svc
# Genindlæse webserver (tilføj til sudoers)
echo "sslbrain-svc ALL=(root) NOPASSWD: /usr/sbin/nginx -s reload, /usr/sbin/apachectl graceful" \
| sudo tee /etc/sudoers.d/sslbrain-svc| Krav | Beskrivelse |
|---|---|
| Læse konfiguration | Adgang til at læse webserver-konfigurationsfiler (/etc/nginx/, /etc/apache2/ eller /etc/httpd/) |
| Skrive certifikater | Adgang til at skrive certifikatfiler og genindlæse webserveren |
| Sudo (valgfrit) | sudo-rettigheder anbefales, men er ikke et krav hvis filrettighederne tillader det |
Nøglepar
sslbrain understøtter Ed25519- og RSA-nøgler. Ed25519 anbefales til nye opsætninger.
Generér et nøglepar:
ssh-keygen -t ed25519 -C "sslbrain-svc" -f ~/.ssh/sslbrain_ed25519Upload den private nøgle som en credential i sslbrain. Den krypteres i vault.
Tilføj den offentlige nøgle til ~/.ssh/authorized_keys på endpointet:
cat ~/.ssh/sslbrain_ed25519.pub >> /home/sslbrain-svc/.ssh/authorized_keys
chmod 600 /home/sslbrain-svc/.ssh/authorized_keysTip: Brug SSH-nøgler frem for adgangskoder. Nøgler er mere sikre og undgår problemer med udløbne adgangskoder.
WinRM
Alternativ til Windows Service for servere hvor du foretrækker push. Kan også bruges til den indledende installation af Windows Service.
Aktivering
WinRM skal aktiveres på Windows-serveren. Kør som administrator:
Enable-PSRemoting -Force
Set-Item WSMan:\localhost\Service\Auth\Basic -Value $true
Set-Item WSMan:\localhost\Service\AllowUnencrypted -Value $falseKonfiguration
sslbrain forbinder via HTTPS (port 5986) som standard. Sørg for at WinRM-listeneren bruger et gyldigt certifikat:
winrm enumerate winrm/config/listenerOpret en credential i sslbrain med en Windows-bruger der har administratorrettigheder. Brug en domænebruger eller lokal administrator.
Port 5985
WinRM over HTTP (krypteret via NTLM/Kerberos)
Port 5986 (anbefalet)
WinRM over HTTPS (kræver et certifikat på WinRM-endpointet)
Firewall
Tillad indgående trafik på port 5986 (HTTPS) fra sslbrain-serverens IP-adresse. Port 5985 (HTTP) bør ikke bruges i produktion.
New-NetFirewallRule -Name "sslbrain-WinRM" `
-DisplayName "sslbrain WinRM HTTPS" `
-Direction Inbound -Protocol TCP -LocalPort 5986 `
-RemoteAddress 10.0.0.50 `
-Action AllowErstat 10.0.0.50 med sslbrain-serverens faktiske IP-adresse.
Windows Service (pull)
Den anbefalede metode til Windows. En letvægts Windows-service der selv henter signerede opgavepakker fra sslbrain via udgående HTTPS. Kræver ingen indgående porte, ingen WinRM og ingen firewall-ændringer.
Installation
Download MSI-pakken fra sslbrain under Downloads. Installer manuelt eller via GPO, SCCM eller Intune.
Under installationen angives:
- sslbrain-serverens adresse (HTTPS)
- Registreringsnøgle fra sslbrain
Servicen registrerer sig automatisk hos sslbrain efter installation. Endpointet dukker op i sslbrain inden for et minut.
Registry
Servicen konfigureres via registry under HKLM\SOFTWARE\sslbrain\Service:
| Nøgle | Beskrivelse |
|---|---|
| ServerUrl | sslbrain-serverens HTTPS-adresse |
| PollInterval | Interval mellem polling i sekunder (standard: 60) |
| LogLevel | Logniveau: Info, Warning, Error |
GPO-udrulning
MSI-pakken kan udrulles via Group Policy som en Computer-tilknyttet softwareinstallation. Registreringsnøglen sættes via GPO Registry Preferences.
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\sslbrain\Service
Name: ServerUrl
Type: REG_SZ
Data: https://sslbrain.example.com:8443Fordelen ved GPO-udrulning er at alle Windows-servere i en OU automatisk får servicen installeret uden manuel handling.
API
Til cloud-platforme og appliances der eksponerer et REST API. sslbrain kalder API'et direkte fra sin egen host.
Tokens
De fleste API'er kræver en access token eller API-nøgle. Opret en credential i sslbrain med token-værdien. Den krypteres i vault.
Headers
Nogle API'er kræver custom headers til autentificering. Disse konfigureres pr. credential i sslbrain:
| Eksempel | Platform |
|---|---|
| Authorization: Bearer <token> | NetScaler, vCenter, Synology |
| X-NITRO-USER / X-NITRO-PASS | Citrix NetScaler |
Credentials
Credentials gemmes krypteret i sslbrains vault og kan genbruges på tværs af endpoints.
Typer
| Type | Bruges til | Felter |
|---|---|---|
| SSH-adgangskode | Linux-servere | Brugernavn + adgangskode |
| SSH-nøgle | Linux-servere | Brugernavn + privat nøgle (+ passphrase hvis relevant) |
| Domænebruger | Windows WinRM | Domæne\brugernavn + adgangskode |
| Lokal bruger | Windows WinRM | Brugernavn + adgangskode |
| API-token | Cloud-platforme, netværksenheder | Token eller brugernavn + adgangskode |
Opret en credential
- Gå til Indstillinger > Credentials
- Klik Ny credential
- Vælg type, angiv et beskrivende navn (f.eks. "Linux service account" eller "FortiGate admin") og udfyld felterne
- Klik Gem
Tip: Du kan også oprette credentials direkte når du tilføjer et endpoint. Klik Ny credential i credential-dropdown.
Vault-kryptering
- Alle credentials krypteres med AES-256 i sslbrains vault
- Private SSH-nøgler lagres aldrig i klartekst
- Credentials kan kun bruges af sslbrain. De kan ikke hentes ud igen via UI eller API
- Slet en credential under Indstillinger > Credentials hvis den ikke længere bruges
Bemærk: Opret dedikerede servicekonti til sslbrain frem for at bruge personlige admin-konti. Giv kun de rettigheder som sslbrain har brug for.