Windows Service Agent

Windows Service Agent er den anbefalede måde at forbinde Windows-servere til sslbrain. Agenten kører som en Windows Service, ringer selv ud til sslbrain og kræver ingen åbne indgående porte.

Download og installation

Download

Hent MSI-installeren fra Downloads-siden i sslbrain. Filen er præ-konfigureret med din sslbrain-servers adresse og et registreringstoken, så agenten ved hvor den skal forbinde hen.

Interaktiv installation

Kør MSI-filen på Windows-serveren. Installationen er standard Windows-stil: næste, næste, afslut. Der er ingen konfiguration undervejs, alt er bagt ind i MSI-filen.

Agenten installeres som en Windows Service (SSLBrainAgent) der starter automatisk med serveren.

Silent installation

Til udrulning på mange servere kan du installere uden GUI:

Terminal 
msiexec /i SSLBrainAgent.msi /qn SERVER=https://sslbrain.local REGISTRATION_TOKEN=abc123

Parametre:

Parameter Beskrivelse
SERVERsslbrain-serverens URL
REGISTRATION_TOKENEngangstoken fra sslbrain (genereres under Downloads)
/qnSilent installation uden UI

Tip: Tokenet bruges kun under registrering. Bagefter bruger agenten sit eget API-token.

Sådan virker agenten

Agenten bruger en simpel pull-model:

1

Check-in

Agenten kontakter sslbrain hvert 5. minut via HTTPS.

2

Hent opgaver

sslbrain svarer med en signeret opgavepakke (f.eks. "installér dette certifikat på IIS").

3

Verificér signatur

Agenten verificerer ECDSA P-384-signaturen inden eksekvering. Ugyldige signaturer afvises.

4

Eksekvér

Agenten kører opgaven lokalt på serveren.

5

Rapportér

Resultatet sendes tilbage til sslbrain ved næste check-in.

Al kommunikation er udgående fra agenten. sslbrain åbner aldrig en forbindelse ind til serveren.

Server-registrering

Agenten finder sslbrain automatisk ved opstart. Den prøver i denne rækkefølge:

  1. Registry: hvis ServerURL er sat i registreringsdatabasen, bruges den direkte
  2. DNS SRV-record: agenten slår _sslbrain._tcp.dit-domæne op. Hvis DNS-serveren returnerer en SRV-record, bruger agenten den adresse
  3. sslbrain Cloud: agenten kontakter sslbrain Cloud med sit registreringstoken og får serverens adresse retur

For de fleste installationer behøver du ikke tænke over dette. MSI-filen indeholder serveradressen, og den skrives til registry ved installation.

Tip: DNS SRV er nyttigt hvis du har mange servere og vil undgå at hardcode adressen. Opret denne record i din DNS-zone:

DNS 
_sslbrain._tcp.example.com. 3600 IN SRV 0 0 8443 sslbrain.example.com.

Registry-indstillinger

Alle agentens indstillinger ligger i registreringsdatabasen under:

Registry 
HKLM\SOFTWARE\SSLBrain\
Nøgle Type Standard Beskrivelse
ServerURL REG_SZ (fra MSI) sslbrain-serverens URL
AgentId REG_SZ (autogenereret) Agentens unikke ID. Rør ikke denne.
ApiToken REG_SZ (autogenereret) Agentens API-token. Rør ikke denne.
CheckInInterval REG_DWORD 300 Sekunder mellem check-ins. Minimum 60.
ScriptPolicy REG_SZ SignedOnly SignedOnly = kun signerede scripts. TrustAll = tillad usignerede (kun til test).
TrustSignedBefore REG_SZ (tom) ISO 8601-dato. Afvis scripts signeret før denne dato (til nøglerotation).
LogLevel REG_SZ Info Debug, Info, Warning eller Error

Bemærk: De fleste installationer behøver ingen ændringer. AgentId og ApiToken genereres automatisk ved registrering og bør aldrig ændres manuelt.

GPO-udrulning

Til større miljøer kan du distribuere agenten via Group Policy:

1. Forbered MSI og registry

Placér MSI-filen på en netværksdeling som alle servere kan læse:

UNC-sti 
\\filserver\software\SSLBrainAgent.msi

2. Opret GPO

  1. Åbn Group Policy Management Console
  2. Opret en ny GPO og link den til den OU der indeholder dine servere
  3. Gå til Computer Configuration > Policies > Software Settings > Software installation
  4. Højreklik, vælg New > Package, og peg på MSI-filen på networksharet

3. Konfigurér registry via GPO

For at sætte SERVER og REGISTRATION_TOKEN uden interaktiv installation:

  1. I samme GPO, gå til Computer Configuration > Preferences > Windows Settings > Registry
  2. Opret følgende værdier under HKLM\SOFTWARE\SSLBrain\:
    • ServerURL = din sslbrain-servers URL
    • RegistrationToken = et token fra sslbrain

Serverne registrerer sig automatisk ved næste Group Policy-opdatering og genstart.

Tip: Alternativt kan du bruge msiexec-kommandoen fra silent installation i et startup-script.

Fejlfinding

Logfiler

Agenten skriver logfiler til:

Sti 
C:\ProgramData\SSLBrain\logs\

Logfilen roteres dagligt og gemmes i 30 dage. Sæt LogLevel til Debug i registry for mere detaljerede logs.

Windows Event Log

Agenten skriver også til Windows Event Log:

Felt Værdi
LogApplication
KildeSSLBrainAgent

Vigtige hændelser (start, stop, registrering, fejl) skrives altid til Event Log, uanset LogLevel-indstillingen.

Typiske problemer

Problem: Agenten starter ikke

Løsning:

  • Tjek at servicen SSLBrainAgent er sat til Automatic startup
  • Tjek Event Log for fejlbeskeder ved opstart
  • Bekræft at kontoen servicen kører under har rettigheder til C:\ProgramData\SSLBrain\

Problem: Agenten kan ikke forbinde til sslbrain

Løsning:

  • Tjek at serveren kan nå sslbrain-serverens adresse på den konfigurerede port (standard 8443)
  • Tjek ServerURL i registry, er adressen korrekt?
  • Tjek firewallen for udgående HTTPS-trafik
  • Prøv curl https://din-sslbrain:8443/api/health fra serveren for at teste forbindelsen

Problem: Agenten vises som "Offline" i sslbrain

Løsning:

  • Tjek at servicen kører: sc query SSLBrainAgent
  • Tjek logfilen for fejl
  • Genstart servicen: sc stop SSLBrainAgent && sc start SSLBrainAgent