Opsætning
Første gang du åbner sslbrain, møder du en opsætningsguide der fører dig igennem fire trin. Guiden opretter din admin-konto, aktiverer din licens, konfigurerer sikkerhed og genererer en backup-nøgle.
Tip: Hele opsætningen tager 2-3 minutter. Du skal blot have en email-adresse og internetadgang til cloud.sslbrain.com.
Opsætningsguide
Opsætningsguiden består af fire trin. Du kan ikke springe trin over, men hvert trin kan ændres senere under Indstillinger.
Admin-konto
Email, adgangskode og valgfrit visningsnavn
Licens
Vælg Community (gratis) eller betalt plan
Sikkerhed
IP-whitelist og alert-email
Backup-nøgle
Genereres og vises kun denne ene gang
Trin 1: Admin-konto
Opret din admin-konto. sslbrain opretter samtidig en konto på sslbrain Cloud via quickRegister — du bruger samme login begge steder. Der er ingen separat parringsproces under opsætningen.
| Felt | Beskrivelse | Påkrævet |
|---|---|---|
| Din arbejds-email. Bruges til login på både sslbrain og sslbrain Cloud. | Ja | |
| Adgangskode | sslbrain tjekker styrken og afviser svage adgangskoder. | Ja |
| Visningsnavn | Bruges i emails fra sslbrain. Kan ændres senere under Indstillinger. | Nej |
Tip: Hvis du senere forbinder Active Directory, eksisterer admin-kontoen stadig som fallback-login. Du kan altid logge ind med email og adgangskode, uanset AD-status.
Bemærk: Gem adgangskoden et sikkert sted. Hvis du mister den og ikke har AD konfigureret, kræver det en recovery-procedure at komme ind igen.
Trin 2: Licens
Vælg din licensplan. Du kan altid ændre plan senere i sslbrain Cloud-portalen.
Community (gratis)
Ideel til at komme i gang og til mindre miljøer.
- Op til 5 endpoints
- Let's Encrypt og Google Trust Services
- Auto-DNS
- 1 bruger-login
- 1 custom agent
Betalte planer
Til organisationer med flere servere og brugere.
- Flere endpoints, brugere og agents
- Kommercielle CA'er (DigiCert, Sectigo, GlobalSign)
- AD/LDAP-integration
- RBAC-roller
- Prioriteret support
Tip: Start med Community og opgrader når du har brug for det. Alle data bevares ved planændring.
Trin 3: Sikkerhed og notifikationer
Konfigurer grundlæggende sikkerhed og alerting. Begge indstillinger kan ændres senere under Indstillinger.
| Indstilling | Beskrivelse |
|---|---|
| IP-whitelist | Begræns admin-adgang til specifikke IP-adresser. Lad stå tom for at tillade alle. |
| Alert-email | Modtag besked ved certifikatudløb, servere offline og fornyelse der fejler. |
Vigtigt: Hvis du angiver en IP-whitelist og din IP ændrer sig, kan du blive låst ude. Sørg for at inkludere alle relevante IP-adresser, eller lad feltet stå tomt.
Trin 4: Backup-nøgle
sslbrain genererer en backup-nøgle og viser den på skærmen. Nøglen bruges til disaster recovery og vises kun denne ene gang.
| Egenskab | Detalje |
|---|---|
| Format | XXXX-XXXX-XXXX-XXXX |
| Længde | 16 tegn (uden bindestreger), menneskeligt læsbar |
| Tegnvalg | Undgår forvekslelige tegn (0/O, 1/I osv.) |
| Visning | Vises kun under opsætningen. Kan ikke hentes igen. |
| Ny nøgle | Kan genereres under Indstillinger > Kryptering. Den gamle bliver ugyldig. |
Vigtigt: Kopiér nøglen nu og gem den sikkert. Du kan ikke se den igen efter dette trin. Se afsnittet Backup-nøgle for opbevaringsråd.
sslbrain Cloud
sslbrain Cloud er den centrale tjeneste der understøtter din lokale sslbrain-installation. Den er inkluderet i alle licenser og koster ikke ekstra. Under opsætningen forbindes din instans automatisk via quickRegister — du behøver ikke gøre noget manuelt.
Hvad Cloud håndterer
| Funktion | Beskrivelse |
|---|---|
| Licensvalidering | Leverer din signerede licens med aktiverede funktioner |
| Vault-oplåsning | Opbevarer og roterer den krypterede Key Encryption Key (KEK) til automatisk oplåsning |
| Auto-DNS | Opretter DNS-records for ACME DNS-01-validering, så hverken sslbrain eller din server behøver adgang til din DNS-zone |
| ACME-server | Egen ACME-server der udsteder certifikater via bagvedliggende CA'er (Let's Encrypt, Google Trust Services m.fl.) |
| Agent-opdateringer | Distribuerer nye agent-versioner til dine Windows- og Linux-agenter |
Hvad Cloud IKKE har adgang til
Cloud ser IKKE
- Private certifikatnøgler — de forlader aldrig din lokale instans
- Certifikater (undtagen dem der udstedes via ACME-serveren)
- Loginoplysninger til dine servere
- Vault-indhold (krypterede hemmeligheder)
Cloud ser kun metadata
- Aktiverede licensfunktioner
- Certifikat-udløbsdatoer
- Licensstatus
Al kryptografisk materiale forbliver lokalt.
Krav: sslbrain skal have udgående internetadgang til cloud.sslbrain.com (port 443) under opsætningen og efterfølgende drift. Ingen indgående adgang fra internettet er nødvendig.
Parring med sslbrain Cloud
Parringskoder bruges til at genforbinde en eksisterende sslbrain-installation til sslbrain Cloud. De bruges ikke under den første opsætning — der oprettes forbindelsen automatisk via quickRegister.
Hvornår du har brug for en parringskode
| Scenarie | Beskrivelse |
|---|---|
| Geninstallation | Du har geninstalleret sslbrain og skal forbinde den nye instans til din eksisterende Cloud-konto |
| Mistet forbindelse | Cloud-forbindelsen er gået tabt og kan ikke genopbygges automatisk |
| Serverflytning | Du flytter sslbrain til en ny server og skal registrere den nye instans |
Sådan parrer du
- Gå til Indstillinger > Cloud i sslbrain og klik Generer parringskode
- sslbrain viser en kode i formatet
XXXX-XXXX(8 tegn, 4-4 format) - Koden er gyldig i 15 minutter
- Åbn sslbrain.com/cloud/, log ind og klik Par instans
- Indtast koden — sslbrain bekræfter forbindelsen inden for få sekunder
Bemærk: Parringskoden udløber efter 15 minutter. Hvis den er udløbet, generer en ny fra Indstillinger > Cloud.
Backup-nøgle
Backup-nøglen genereres i trin 4 af opsætningsguiden. Den er din livline ved disaster recovery og skal opbevares sikkert uden for serveren.
Hvad backup-nøglen gør
Backup-nøglen bruges sammen med en fil-backup af /data-mappen til at genskabe din sslbrain-installation. Du skal bruge begge dele:
Backup-nøgle
Låser vault'en op, så krypterede nøgler og hemmeligheder kan læses.
Format: XXXX-XXXX-XXXX-XXXX
Fil-backup af /data
Indeholder selve dataene: database, vault, agents og konfiguration.
Kopiér med: docker cp sslbrain:/data ./backup
Vigtigt: Backup-nøglen alene er ikke nok. Fil-backuppen alene er heller ikke nok. Du skal have begge dele for at gendanne en installation.
Alternativ: Cloud-oplåsning
Hvis automatisk oplåsning er aktiveret, kan sslbrain Cloud også låse vault'en op fra en backup. Backup-nøglen er din offline fallback — den virker uanset Cloud-forbindelsen.
Sådan opbevarer du nøglen
| Metode | Anbefaling |
|---|---|
| Password manager | 1Password, Bitwarden, KeePass eller lignende. Bedste løsning for de fleste. |
| Print nøglen og læg den i en safe eller sikkerhedsboks. | |
| Ikke på serveren | Gem aldrig nøglen som en fil på den samme server som sslbrain. Hvis serveren fejler, mister du begge dele. |
Tip: Du kan generere en ny backup-nøgle under Indstillinger > Kryptering. Den gamle nøgle bliver ugyldig med det samme — sørg for at opdatere din opbevaring.
Første login
Efter opsætningsguiden logger du ind med den admin-konto du oprettede i trin 1. Du møder dashboardet, der giver et samlet overblik over din certifikat-infrastruktur.
Dashboard-oversigt
| Sektion | Viser |
|---|---|
| Certifikater | Alle aktive certifikater med udløbsdatoer. Farvekoder: grøn (OK), gul (udløber inden 30 dage), rød (udløbet). |
| Servere | Forbundne servere og deres status (online/offline). Klik for at se serverens certifikater og konfiguration. |
| Aktivitet | Seneste handlinger: udstedte certifikater, fornyelser, fejl. Nyttigt til fejlfinding. |
| Advarsler | Certifikater der kræver opmærksomhed — fornyelse fejlet, server offline, snart udløb. |
Navigation
| Menu | Funktion |
|---|---|
| Certifikater | Opret, forny, revokér og administrer certifikater |
| Servere | Tilføj og konfigurer servere (SSH, WinRM, Agent) |
| CA-konti | Konfigurer Certificate Authorities (Let's Encrypt, Google Trust Services, DigiCert, Sectigo, osv.) |
| Downloads | Hent Windows Agent, Linux Agent og CLI-værktøjer |
| Indstillinger | Brugere, AD, kryptering, Cloud, notifikationer, opdateringer |
Vigtige indstillinger efter opsætning
Gennemgå disse indstillinger inden du begynder at udstede certifikater.
1. Active Directory / LDAP
Under Indstillinger > Identitet: forbind sslbrain til din AD/LDAP-server, så brugere kan logge ind med deres domæne-loginoplysninger.
| Felt | Eksempel |
|---|---|
| Server | ldaps://dc01.example.com:636 |
| Base DN | DC=example,DC=com |
| Bind-bruger | En service account med læserettigheder |
| Gruppe-mapping | Vælg hvilke AD-grupper der giver adgang til sslbrain |
Tip: AD-integration er valgfri. Admin-kontoen fra opsætningen fungerer altid som fallback-login, uanset om AD er konfigureret.
2. Vault og krypteringsmode
Under Indstillinger > Kryptering: vælg hvordan vault'en låses op ved genstart.
Automatisk oplåsning (anbefalet)
Vault'en åbner automatisk når sslbrain starter. Oplåsningsnøglen opbevares krypteret i sslbrain Cloud og leveres kun til din registrerede instans.
Vælg denne hvis:
- Du vil have en fuldautomatisk installation
- Serveren kan genstarte uden menneskelig indgriben
- Du stoler på sslbrain Clouds infrastruktur
Manuel oplåsning
Efter hver genstart skal en administrator indtaste oplåsningsnøglen i webinterfacet, før vault'en åbner og certifikat-operationer kan genoptages.
Vælg denne hvis:
- Compliance kræver at ingen tredjepart har adgang til krypteringsnøgler
- Du har en procedure for at reagere hurtigt på genstart
- Du opererer i et air-gapped eller højsikkerhedsmiljø
3. Notifikationer
Under Indstillinger > Notifikationer: konfigurer email eller webhook for advarsler. sslbrain kan sende besked når:
- Et certifikat ikke kunne fornyes
- En server er offline
- Et certifikat udløber inden for X dage (konfigurerbar)
Tip: Sæt som minimum en alert-email op, så du får besked hvis en automatisk fornyelse fejler.
4. CA-konti
Let's Encrypt og Google Trust Services er automatisk forbundet og gratis tilgængelige. De kan deaktiveres under CA-konti hvis du ikke ønsker at bruge dem.
Kommercielle certifikater (DigiCert, Sectigo, GlobalSign) kræver licensenheder som kan købes og tilknyttes under CA-konti på betalte licenser.
5. DNS-validering
Anbefaling: Vi anbefaler kraftigt at bruge Auto-DNS. Det gør certifikatudstedelse og -fornyelse fuldautomatisk, og kræver ikke at sslbrain eller dine servere har adgang til din DNS-zone.
Under Indstillinger > DNS: vælg mellem tre metoder.
| Metode | Beskrivelse | Automatisk fornyelse |
|---|---|---|
| sslbrain Auto-DNS | sslbrain Cloud håndterer DNS-records via et CNAME-setup. Alle licenser. | Ja |
| HTTP-01 / DNS API / TLS-ALPN | Valider via HTTP-fil, din DNS-udbyders API eller TLS-ALPN. Kun betalte licenser. | Ja |
Auto-DNS kræver kun at du opretter en CNAME-record per domæne:
_acme-challenge.example.com CNAME example.com.acme.sslbrain.cloud.sslbrain guider dig igennem opsætningen for din specifikke DNS-udbyder.
Community-brugere: Community-licensen kan kun bruge Auto-DNS via sslbrain Cloud. HTTP-01, DNS API og TLS-ALPN validering kræver en betalt licens. Årsagen er at valideringsfejl kan rate-limite ACME-konti og påvirke andre brugere. Community-brugere kan stadig gå direkte til Let's Encrypt eller andre CA'er uden om sslbrain Cloud.
6. Backup-tidspunkt
Under Indstillinger > Backup: sslbrain tager automatisk daglig backup af database og vault.
| Indstilling | Standard | Beskrivelse |
|---|---|---|
| Tidspunkt | kl. 02:00 | Hvornår den daglige backup køres |
| Antal backups | 7 | Ældre backups slettes automatisk |
| Ekstern storage | Ingen | Overvej at kopiere backups til NAS, S3 eller lignende |
7. TLS-certifikat for webinterfacet
sslbrain bruger et selvsigneret certifikat ved installation. Under Indstillinger > TLS kan du udstede et rigtigt certifikat til sslbrains eget webinterface — enten fra Let's Encrypt eller en intern CA. Så slipper du for browser-advarsler.
Tip: Hvis sslbrain er tilgængelig på et offentligt domæne, kan du bruge Auto-DNS til automatisk at udstede og forny TLS-certifikatet for webinterfacet.