Servere og endpoints

Hvad er et endpoint?

Et endpoint er en server eller enhed som sslbrain administrerer certifikater på. Tællingen er per fysisk eller virtuel server, ikke per certifikat eller tjeneste.

Windows-server

IIS med tre websites, Exchange og RDP = 1 endpoint

Linux-server

Nginx, Apache og fem vhosts = 1 endpoint

FortiGate

VPN, admin-interface og SSL inspection = 1 endpoint

Det er serveren eller enheden der tælles, ikke hvad der kører på den. Du kan have mange certifikater og tjenester på samme endpoint uden ekstra omkostninger.

Tilføj Windows-server (Service Agent)

Service Agent er den anbefalede metode til Windows-servere. Agenten kræver ingen åbne indgående porte, den ringer selv ud til sslbrain via HTTPS.

Opsætning

  1. Gå til Downloads i sslbrain og hent Windows Agent (.msi)
  2. Kopiér MSI-filen til Windows-serveren
  3. Kør installationen, standard Windows-installation: næste, næste, afslut
  4. Agenten starter automatisk som en Windows Service

Systemkrav: Windows Server 2016 eller nyere / Windows 10 version 1607 eller nyere. Agenten er self-contained og kræver ingen forudinstalleret .NET runtime.

Inden for ca. 1 minut dukker serveren op under Servere med status "Online". Der er ingen yderligere konfiguration.

Hvad agenten finder

Agenten scanner serveren og rapporterer:

Tjeneste Hvad der opdages
IIS Alle sites og deres bindings (HTTP og HTTPS)
Exchange OWA, SMTP, IMAP, POP3
RDP Remote Desktop-certifikater
ADFS Active Directory Federation Services
SQL Server TLS-konfiguration på SQL-instanser

Alt vises under serverens Tjenester-fane.

Hvorfor agent frem for WinRM?

Ingen åbne porte

Agenten bruger udgående HTTPS. Ingen indgående porte påkrævet.

Ingen WinRM-konfiguration

Installér og kør. Ingen yderligere opsætning nødvendig.

Virker bag NAT

Virker bag NAT og firewalls uden portforwarding.

Automatiske opdateringer

Agenten opdaterer sig selv automatisk via sslbrain Cloud.

Den eneste forudsætning er at serveren kan nå sslbrain på port 8443 (eller den port du har konfigureret).

WinRM (alternativ)

Brug WinRM hvis du ikke kan eller vil installere agenten. WinRM er Windows' indbyggede fjernstyringsprotokol.

Forudsætninger

WinRM skal være aktiveret på serveren. Kør dette i en administrativ PowerShell:

PowerShell 
winrm quickconfig

Sørg for at en af disse porte er åbne i firewallen:

Port 5985

WinRM over HTTP (krypteret via NTLM/Kerberos)

Port 5986 (anbefalet)

WinRM over HTTPS (kræver et certifikat på WinRM-endpointet)

Tip: Port 5986 anbefales i produktionsmiljøer.

Opsætning i sslbrain

  1. Klik Servere > Tilføj server
  2. Vælg Windows (WinRM)
  3. Udfyld:
    • Hostname/IP: serverens FQDN eller IP-adresse
    • Port: 5985 eller 5986
    • Loginoplysninger: domænebruger eller lokal administrator
  4. Klik Test forbindelse
  5. Klik Gem

sslbrain finder de samme tjenester som agenten (IIS, Exchange, RDP, ADFS, SQL).

Tilføj Linux-server (SSH)

SSH er standardmetoden til Linux-servere. sslbrain forbinder via SSH og opdager automatisk webserver-konfigurationer.

Opsætning

  1. Klik Servere > Tilføj server
  2. Vælg Linux (SSH)
  3. Udfyld:
    • Hostname/IP: serverens FQDN eller IP-adresse
    • SSH-port: standard er 22. Ændr kun hvis du bruger en anden port
    • Loginoplysninger: vælg en eksisterende loginoplysning eller opret en ny (se afsnittet om loginoplysninger)
  4. Klik Test forbindelse

Grønt flueben betyder at sslbrain kan nå serveren og logge ind. Klik Gem for at tilføje serveren.

Hvad sslbrain opdager

Efter tilføjelse scanner sslbrain serveren og finder automatisk:

  • Nginx: alle server-blokke med listen 443 eller ssl_certificate-direktiver
  • Apache: alle VirtualHost-konfigurationer med SSL aktiveret
  • Eksisterende certifikater: certifikater der allerede er installeret, med udløbsdato og kædevalidering

Resultatet vises under serverens Tjenester-fane inden for få sekunder.

Krav til SSH-brugeren

Krav Beskrivelse
Læse konfiguration Adgang til at læse webserver-konfigurationsfiler (typisk /etc/nginx/ og /etc/apache2/ eller /etc/httpd/)
Skrive certifikater Adgang til at skrive certifikatfiler og genindlæse webserveren (til deployment)
Sudo (valgfrit) sudo-rettigheder anbefales, men er ikke et krav hvis filrettighederne tillader det

Tip: Se afsnittet om servicekonti for anbefalinger til SSH-brugere.

Tilføj netværksenhed

sslbrain understøtter netværksenheder der ikke kører et standard OS. Forbindelsesmetoden afhænger af enheden.

FortiGate

FortiGate-firewalls administreres via SSH CLI.

  1. Klik Servere > Tilføj server
  2. Vælg Netværksenhed > FortiGate
  3. Udfyld hostname/IP, SSH-port (standard 22) og admin-loginoplysninger
  4. Klik Test forbindelse

sslbrain finder certifikater brugt til VPN, admin-interface og SSL inspection.

NetScaler (Citrix ADC)

NetScaler administreres via REST API (NITRO).

  1. Klik Servere > Tilføj server
  2. Vælg Netværksenhed > NetScaler
  3. Udfyld:
    • Hostname/IP: NetScalers management-IP
    • Port: typisk 443
    • API-loginoplysninger: brugernavn og adgangskode til NITRO API
  4. Klik Test forbindelse

sslbrain finder alle SSL vServers og deres certifikat-bindings.

Bemærk: Netværksenheder kræver admin-loginoplysninger med tilstrækkelige rettigheder til at læse og skrive certifikatkonfiguration. Opret en dedikeret bruger med minimale rettigheder, se afsnittet om servicekonti.

Scanning

Når du tilføjer en server, kører sslbrain automatisk en scanning. Du kan også køre scanning manuelt fra serverens oversigtside.

Scanning finder:

Hvad Beskrivelse
Tjenester Alle tjenester der bruger TLS-certifikater
Certifikater Udløbsdato, kæde og konfiguration
TLS-konfiguration TLS-versioner og cipher suites i brug
Fejl Udløbne certifikater, ufuldstændige kæder, svage ciphers

Resultaterne vises under serverens Tjenester-fane med en statusindikator per tjeneste.

Tip: Scanning kører automatisk med jævne mellemrum (konfigurerbart under Indstillinger > Scanning). Du behøver normalt ikke køre den manuelt efter den første gang.

Loginoplysninger

Loginoplysninger gemmes krypteret i sslbrains vault og kan genbruges på tværs af servere.

Typer

Type Bruges til Felter
SSH-adgangskode Linux-servere Brugernavn + adgangskode
SSH-nøgle Linux-servere Brugernavn + privat nøgle (+ passphrase hvis relevant)
Domænebruger Windows WinRM Domæne\brugernavn + adgangskode
Lokal bruger Windows WinRM Brugernavn + adgangskode
API-token Netværksenheder Token eller brugernavn + adgangskode

Opret en loginoplysning

  1. Gå til Indstillinger > Loginoplysninger
  2. Klik Ny loginoplysning
  3. Vælg type, angiv et beskrivende navn (f.eks. "Linux service account" eller "FortiGate admin") og udfyld felterne
  4. Klik Gem

Tip: Du kan også oprette loginoplysninger direkte når du tilføjer en server, klik Ny loginoplysning i loginoplysning-dropdown.

Sikkerhed

  • Loginoplysninger krypteres med AES-256 i sslbrains vault
  • Private SSH-nøgler lagres aldrig i klartekst
  • Loginoplysninger kan kun bruges af sslbrain, de kan ikke hentes ud igen via UI eller API
  • Slet en loginoplysning under Indstillinger > Loginoplysninger hvis den ikke længere bruges

Best practice for servicekonti

Bemærk: Opret dedikerede servicekonti til sslbrain frem for at bruge personlige admin-konti. Giv kun de rettigheder som sslbrain har brug for.

Linux

Opret en bruger til sslbrain:

Terminal 
sudo useradd -r -m -s /bin/bash sslbrain-svc

Giv adgang til at læse webserver-konfiguration og skrive certifikatfiler:

Terminal 
# Læse Nginx/Apache-konfiguration
sudo usermod -aG www-data sslbrain-svc

# Genindlæse webserver (tilføj til sudoers)
echo "sslbrain-svc ALL=(root) NOPASSWD: /usr/sbin/nginx -s reload, /usr/sbin/apachectl graceful" \
  | sudo tee /etc/sudoers.d/sslbrain-svc

Brug SSH-nøgle i stedet for adgangskode. Generér et nøglepar og upload den offentlige nøgle til serveren.

Windows

Opret en dedikeret servicekonto i Active Directory (eller lokalt) med disse rettigheder:

  • IIS: Medlemskab af gruppen "IIS Admins" eller tilsvarende tilpasset gruppe med rettigheder til at administrere bindings og certifikater
  • Certifikatlageret: Læse- og skriveadgang til "Local Machine\WebHosting" og "Local Machine\My"
  • Exchange: Rollen "Server Management" i Exchange
  • WinRM: Medlemskab af gruppen "Remote Management Users"

Bemærk: Brug aldrig en Domain Admin-konto som sslbrain-loginoplysning. Hvis kontoen kompromitteres, begrænser minimale rettigheder skaden.

Netværksenheder

Opret en dedikeret admin-bruger med kun de rettigheder der er nødvendige for certifikathåndtering:

  • FortiGate: Opret en admin-profil med adgang til "VPN" og "System" → "Certificates". Ingen adgang til firewall-regler eller routing.
  • NetScaler: Opret en bruger med sslCertKey-rettigheder via en tilpasset command policy.

Tip: Dokumentér hvilke loginoplysninger der bruges til hvilke servere, og rotér adgangskoder/nøgler regelmæssigt.