self-hosted Bitwarden Server

# Ordner anlegen und betreten
mkdir -p /srv/docker/bitwarden
cd /srv/docker/bitwarden

# lädt das Verwaltungsskript von Bitwarden runter
curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh && chmod 700 bitwarden.sh

cd  /srv/docker/bitwarden
./bitwarden.sh install

# Hier wird die Domain für den Aufruf festgelegt
Enter the domain name for your Bitwarden instance (ex. bitwarden.example.com): bitwarden.mydomain.com

# Let's Encrypt lassen wir vom vorgelagerten Nginx regeln, daher nein
Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): n

# Datenbankname, kann Standard bleiben, einfach Enter
Enter the database name for your Bitwarden instance (ex. vault): <ENTER>

# die Installations-ID & der Key die vorher beschafft wurde (siehe oben)
Enter your installation id (get at https://bitwarden.com/host): xxxxxxxxxxx
Enter your installation key: xxxxxxxxxxxx

# wir nutzen ein selbstsigniertes Zertifikat, was Bitwarden anlegen wird, daher hier nein auswählen
Do you have a SSL certificate to use? (y/n): n
# ja bitte!
Do you want to generate a self-signed SSL certificate? (y/n): y

Generating key for IdentityServer.
Generating a RSA private key
...................++++
writing new private key to 'identity.key'
-----

!!!!!!!!!! WARNING !!!!!!!!!!
You are not using a SSL certificate. Bitwarden requires HTTPS to operate.
You must front your installation with a HTTPS proxy or the web vault (and
other Bitwarden apps) will not work properly.


# Da wir einen eigenen nginx mit SSL Zertifikat für den öffentlichen Zugriff verwenden, benötigt Bitwarden kein LE, oder gar ein öffentliches Zertifikat. Es reicht daher aus, bei der Bitwarden # Installation ein eigenes Zertifikat generieren zu lassen. Die Kommunikation zwischen Bitwarden und dem eigenständigen nginx wird somit dennoch verschlüsselt durchgeführt.
# Ohne Zertifikats wäre es eben HTTP anstatt HTTPS und somit innerhalb des Servers unverschlüsselt...

#File: /srv/docker/bitwarden/bwdata/config.yml

# Wir sorgen dafür, dass Bitwarden sich nicht auf Port 80 und 443 bindet, da hier bereits ein Webserver lauscht. Deswegen binden wir den Docker-Proxy der von Bitwarden vorgesehen ist, auf eine eigene IP-Adresse mit Port 8080 und 8443.

http_port: 172.16.1.1:8080
https_port: 172.16.1.1:8443

Datei: /srv/docker/bitwarden/bwdata/env/global.override.env

globalSettings__mail__replyToEmail=no-reply@bitwarden.mydomain.com
globalSettings__mail__smtp__host=REPLACE
globalSettings__mail__smtp__port=587
globalSettings__mail__smtp__ssl=false
globalSettings__mail__smtp__username=REPLACE
globalSettings__mail__smtp__password=REPLACE

# Hier müssen die SMTP-Auth Daten und die gewünschte E-Mailadresse hinterlegt werden, zum Beispiel:

globalSettings__mail__replyToEmail=no-reply@bitwarden.mydomain.com
globalSettings__mail__smtp__host=smtp.google.com
globalSettings__mail__smtp__port=465
globalSettings__mail__smtp__ssl=true
globalSettings__mail__smtp__username=myaccount@gmail.com
globalSettings__mail__smtp__password=super_tolles_pasword

globalSettings__disableUserRegistration=true

./bitwarden.sh rebuild

# File /srv/docker/bitwarden/bwdata/docker/docker-compose.override.yml
---
version: '3'

services:
  nginx:
    networks:
      default:
        ipv4_address: 172.16.1.250

networks:
  default:
    driver: bridge
    ipam:
      driver: default
      config:
        - subnet: 172.16.1.0/24
    driver_opts:
      com.docker.network.bridge.name: br_bitwarden

./bitwarden.sh start

# -k weil selbstsigniertes Zertifikat
curl -k https://172.16.1.250:8443
<!doctype html>......

# File: /etc/nginx/sites-enabled/bitwarden.mydomain.com.conf

# Dieser vHost nimmt auf Port 80 alle Anfragen an und leitet diese auf HTTPS um, außer Let's Encrypt ACME Challenges.
server {
    server_name     bitwarden.mydomain.com;

    listen          *:80;

    # Dies ist sehr individuell, mehr dazu im Bereich Let's Encrypt
    location ~ .well-known {
        root        /srv/www/letsencrypt/;
    }

    location / {
        return  301 https://$host$request_uri;
    }
}

mkdir -p /srv/www/letsencrypt/
nginx -t && nginx -s reload

certbot certonly --webroot -w /srv/www/letsencrypt/ --email admin@mydomain.com --non-interactive --agree-tos -d bitwarden.mydomain.com

# File: /etc/nginx/sites-enabled/bitwarden.mydomain.com.conf

# Dieser bereich sollte erst eingerichtet werden, wenn ein SSL Zertifikat vorliegt! 
server {
    server_name         bitwarden.mydomain.com;

    listen              *:443 ssl;

    access_log          /var/log/nginx/bitwarden.mydomain.com.access.log;
    error_log           /var/log/nginx/bitwarden.mydomain.com.error.log;
    rewrite_log         on;

    # Platzhalter, alle Anfragen werden sowieos an Bitwarden geleitet
    root                /srv/www/default;
    index               index.php index.html index.htm;

    ssl_certificate     /etc/letsencrypt/live/bitwarden.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bitwarden.mydomain.com/privkey.pem;

    client_max_body_size 1024M;

    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    location / {
        # die IP-Adresse ist nun statisch, da wir diese im docker override hinterlegt haben...
        proxy_pass  https://172.16.1.250:8443$request_uri;

        proxy_redirect off;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Protocol $scheme;
        proxy_set_header X-Url-Scheme $scheme;
    }
}

nginx -t && nginx -s reload

cd /srv/docker/bitwarden
./bitwarden.sh update