Best Practices
Tjekliste: Første opsætning
Tjekliste: Download og installation
- Download sslbrain fra sslbrain.com (inkl. licens og API-token)
- Kør Docker-containeren
- Gennemfør opsætningsguiden (admin-konto, kryptering, Cloud-forbindelse)
- Gem backup-nøglen (print eller gem sikkert)
- Test vault-oplåsning (genstart containeren, bekræft den starter korrekt)
- Log ind og gennemse dashboard
Tjekliste: Første server
- Vælg forbindelsesmetode: SSH (Linux), Service Agent (Windows), WinRM (Windows alternativ)
- Opret loginoplysning: brugernavn/adgangskode eller SSH-nøgle
- Tilføj server: hostname, loginoplysning, test forbindelse
- Gennemse fundne tjenester (IIS-sites, Nginx-vhosts, Exchange, etc.)
- Kør certifikat-wizard
- Verificér certifikatet er installeret korrekt
Skalering til flere servere
Fælles loginoplysninger
Brug samme loginoplysning til servere med samme login (f.eks. domain admin for alle Windows-servere).
Kloning
Klon opsætning fra første server til de næste (ét klik).
Deployment-plan
Opret deployment-plan for alle servere med samme certifikat.
Stor skala (50+ servere)
Overvej GPO-distribution af Service Agent MSI.
Overvågning og advarsler
Tjekliste: Notifikationer
- Konfigurér notifikationskanaler: email som minimum, Slack/webhook for teams
- Sæt advarselregler: certifikat udløber om 30 dage, deployment fejlede, serverforbindelse tabt
- Test notifikationer: klik "test" for at verificere
- Gennemse advarsler ugentligt i dashboard
Planlagt vedligeholdelse
| Interval | Opgave |
|---|---|
| Dagligt | Check dashboard for advarsler |
| Ugentligt | Gennemse revisionslog for uautoriserede ændringer |
| Månedligt | Check certifikatudløbsforecast |
| Kvartalsvis | Gennemse serverliste, fjern dekommissionerede servere |
| Årligt | Forny licens, test disaster recovery |
Disaster recovery
Automatisk backup
Automatisk daglig backup til /data/backups/ (7 dages retention som standard).
Manuel backup
Kopiér hele /data volume.
Gendannelse
Gendan volume, genstart container, lås vault op med backup-nøgle.
Test
Test gendannelse årligt på en test-instans.
Terminal
docker cp sslbrain:/data ./backupRotation af loginoplysninger
Tjekliste: Rotation
- Rotér servicekonto-adgangskoder kvartalsvis eller efter virksomhedens politik
- Opdatér loginoplysning i sslbrain: Indstillinger → Loginoplysninger → rediger → ny adgangskode
- Alle servere der bruger denne loginoplysning får automatisk den nye adgangskode ved næste handling
- Test: kør scanning på en server for at verificere
Adgangskontrol
| Rolle | Hvem | Anbefaling |
|---|---|---|
| Admin | 2-3 betroede medarbejdere | Begræns antallet, fuld kontrol over alt |
| Operator | Teamledere | Kan deploye, men kan ikke ændre loginoplysninger eller brugere |
| Viewer | Alle med behov for indsigt | Kan ikke udføre handlinger |
Tip: Gennemse brugeradgang kvartalsvis, fjern forældede konti.
Netværkssikkerhed
Tjekliste: Netværk
- Åbn kun port 8443 (HTTPS) fra dit lokale netværk til sslbrain
- Tillad sslbrain udgående adgang til cloud.sslbrain.com og acme.sslbrain.com (faste IP-adresser)
- Tillad sslbrain lokal adgang til dine servere (SSH port 22, WinRM port 5985)
- Giv ikke sslbrain adgang fra internettet
Vigtigt: Ingen indgående adgang fra internettet eller sslbrain Cloud til dit netværk er nødvendig.