So betreibst Du Passbolt selbst
06/07/2026
Das Wichtigste auf einen Blick
Durch das Self-hosting von Passbolt können Unternehmen Passwörter auf einer Infrastruktur verwalten, die sie selbst kontrollieren, und gleichzeitig die Eigentumsrechte an Anmeldedaten, Verschlüsselungen und Sicherheitsrichtlinien behalten. Für eine erfolgreiche Bereitstellung sind eine unterstützte Linux-Distribution, ein Datenbankserver, ein Webserver, eine SMTP-Konfiguration und HTTPS für den sicheren Zugriff erforderlich. Nach der Bereitstellung bietet Passbolt zentralisierte Passwortverwaltung, sicheren Austausch von Anmeldedaten, rollenbasierte Zugriffskontrollen und Audit-Funktionen für Teams.
Die Verwaltung von Passwörtern im Team kann schnell schwierig werden, wenn Anmeldedaten in Excel, freigegebenen Dokumenten oder mehreren Passwort-Managern gespeichert sind. Diese Vorgehensweisen bergen oft Sicherheitsrisiken, schränken die Transparenz ein und erschweren die Kontrolle über den Zugriff auf sensible Konten. Passbolt bietet eine sichere Open-Source-Plattform zur Passwortverwaltung, die für Teams entwickelt wurde, die die volle Kontrolle über ihre Anmeldedaten und ihre Infrastruktur benötigen.
In dieser Anleitung erfährst Du, wie Du Passbolt auf Deinem eigenen Server selbst hostest – von der Vorbereitung der Umgebung über die Ersteinrichtung bis hin zur Absicherung Deiner Installation.
Was ist Passbolt und warum sollte man es selbst hosten?
Passbolt ist ein Open-Source-Passwortmanager, der für Teams und Organisationen entwickelt wurde, die eine sichere Möglichkeit zum Speichern, Verwalten und Teilen von Zugangsdaten benötigen. Er umfasst Funktionen wie das Teilen von Passwörtern, rollenbasierte Zugriffskontrollen, Aktivitätsprotokollierung und End-to-End-Verschlüsselung, um sensible Informationen zu schützen.
Passbolt ist sowohl als kostenlose Community Edition als auch als kostenpflichtige Pro Edition erhältlich. Die Community Edition enthält die zentralen Funktionen zur Passwortverwaltung, die die meisten Teams benötigen, während die Pro-Edition erweiterte Funktionen wie verbesserte Berichterstellung, Verzeichnisintegrationen und zusätzliche Verwaltungskontrollen bietet.
Viele Organisationen entscheiden sich dafür, Passbolt selbst zu hosten, um die volle Kontrolle über ihre Passwortdaten, Sicherheitsrichtlinien und Serverinfrastruktur zu behalten. Durch das Self-hosting können Teams außerdem ihre Bereitstellung anpassen, Compliance-Anforderungen erfüllen und die Abhängigkeit von Passwortverwaltungsdiensten von Drittanbietern verringern.
Systemanforderungen für Passbolt
Stelle vor der Installation von Passbolt sicher, dass Dein Server die Mindestanforderungen für eine unterstützte Bereitstellung erfüllt. Passbolt läuft zwar auch auf bescheidener Hardware, doch die Ressourcenanforderungen können je nach Anzahl der Benutzer, gespeicherter Anmeldedaten und Integrationen steigen.
Mindestanforderungen an den Server
- 1 vCPU oder höher
- Mindestens 2 GB RAM
- 20 GB verfügbarer Speicherplatz
- Öffentliche IP-Adresse
Unterstützte Betriebssysteme
Passbolt unterstützt offiziell mehrere Linux-Distributionen, darunter:
- Ubuntu 24.04 LTS
- Ubuntu 22.04 LTS
- Debian 12
In dieser Anleitung wird Ubuntu als Installationsplattform verwendet.
Domain- und SSL-Anforderungen
Für Produktionsumgebungen werden ein vollqualifizierter Domain name (FQDN) und ein SSL-Zertifikat empfohlen. Passbolt nutzt HTTPS, um die Kommunikation zwischen Benutzern und dem Server zu sichern. Zwar kannst Du Passbolt zu Testzwecken über eine Server-IP-Adresse installieren, doch ist ein Domainname erforderlich, wenn Du Let’s Encrypt für die automatische Verwaltung von SSL-Zertifikaten nutzen möchtest.
Anforderungen an E-Mail (SMTP)
Passbolt nutzt E-Mail für Benutzereinladungen, die Passwortwiederherstellung, Benachrichtigungen und die Kontoüberprüfung. Bevor Du Passbolt in einer Produktionsumgebung einsetzt, stelle sicher, dass Du Zugriff auf einen SMTP-Server oder einen E-Mail-Versanddienst hast, um ausgehende Nachrichten zu versenden.
Installation und Konfiguration eines self-hosted Passbolt-Servers
Schritt 1: Verbinde Dich mit Deinem Ubuntu-VPS
Verbinde Dich über SSH mit Deinem VPS.
ssh root@your_server_ip
Schritt 2: Aktualisiere den Server
Aktualisiere die installierten Pakete, bevor Du Passbolt installierst.
sudo apt update && sudo apt upgrade -y

Schritt 3: Lade die Einrichtungsdateien für das Passbolt-Repository herunter
Lade das Einrichtungsskript und die Prüfsummen-Datei für das Passbolt-Repository herunter.
curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh

curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt

Schritt 4: Überprüfe das Installationsprogramm
Überprüfe die Integrität der heruntergeladenen Dateien, bevor Du das Installationsprogramm ausführst.
sha512sum -c passbolt-ce-SHA512SUM.txt

Du solltest Folgendes sehen:
passbolt-repo-setup.ce.sh: OK

Wenn die Überprüfung fehlschlägt, fahre nicht fort. Lade die Dateien erneut herunter.
Schritt 5: Das Passbolt-Repository konfigurieren
Führe das Skript zur Einrichtung des Repositorys aus.
sudo bash ./passbolt-repo-setup.ce.sh

Dadurch wird das Passbolt-Repository konfiguriert und die erforderlichen Abhängigkeiten werden installiert.
Schritt 6: Passbolt Community Edition installieren
Installiere das Passbolt-Server-Paket.
sudo apt install passbolt-ce-server

Der Installationsassistent sollte automatisch starten.
Während des Assistenten wirst Du möglicherweise aufgefordert, Folgendes zu konfigurieren:
- Datenbankeinstellungen
- Webserver-Einstellungen
- Hostname oder IP-Adresse
- HTTPS
- SMTP
- GPG-Schlüssel

Schritt 7: Konfiguriere die Datenbank
Gib die Datenbankdaten ein, wenn Du dazu aufgefordert wirst.
Wenn der Installer anbietet, MariaDB/MySQL automatisch zu konfigurieren, kannst Du dies zulassen.
Typische Datenbankwerte könnten wie folgt aussehen:
Datenbankname: passboltdb
Datenbankbenutzer: passboltadmin
Datenbank-Host: localhost
Datenbank-Port: 3306


Wichtig: Speichere Dein Datenbankpasswort sicher. Passbolt benötigt dieses Passwort in seiner Konfigurationsdatei.
Schritt 8: Konfiguriere den Hostnamen
Gib Deinen Passbolt-Hostnamen ein.
Empfohlene Produktionskonfiguration
Verwende einen echten Domainnamen:
passbolt.example.com
Dies ist die empfohlene Konfiguration, da sie Dir die Nutzung von HTTPS mit einem gültigen SSL-Zertifikat ermöglicht.
Einrichtung nur zum Testen
Wenn Du Passbolt nur testest und noch keine Domain hast, kannst Du die öffentliche IP-Adresse Deines VPS verwenden:
203.0.113.10
In diesem Fall lautet Deine Passbolt-URL:
http://203.0.113.10

Hinweis zum Testen: Eine IP-basierte Konfiguration ist nützlich, um zu überprüfen, ob Passbolt korrekt installiert ist, sollte aber nicht in der Produktion verwendet werden, da sie in der Regel über einfaches HTTP läuft.
Schritt 9: HTTPS konfigurieren
Wenn Du eine Domain verwendest
Wenn Deine Domain bereits auf Deinen VPS verweist, wähle im Installationsprogramm die Option „Let’s Encrypt“ aus.
Beispiel-Domain:
passbolt.example.com
Dann sollte Passbolt unter folgender Adresse erreichbar sein:
Dies ist die empfohlene Konfiguration für den Produktivbetrieb.
Wenn Du nur eine VPS-IP-Adresse verwendest
Wenn Du nur eine IP-Adresse verwendest, überspringe „Let’s Encrypt“ vorerst.
Verwende:
http://your_server_ip
Erzwinge HTTPS noch nicht, es sei denn, Du hast eine gültige Domain und ein SSL-Zertifikat.
Wichtig: „Let’s Encrypt“ stellt Zertifikate in der Regel für Domainnamen aus, nicht für reine IP-Adressen. Für den Produktivbetrieb erstelle zunächst einen DNS-Eintrag, verweise ihn auf Deinen VPS und konfiguriere dann HTTPS.
Schritt 11: GPG-Schlüssel generieren
Erlaube dem Installationsprogramm, die erforderlichen OpenPGP/GPG-Serverschlüssel zu generieren.
Passbolt verwendet diese Schlüssel für verschlüsselungsbezogene Vorgänge.
Wenn die Installation erfolgreich abgeschlossen ist, sollte der Passbolt-Zustandscheck den GPG-Abschnitt als bestanden anzeigen.

Du kannst dies später mit folgendem Befehl überprüfen:
sudo su -s /bin/bash -c „/usr/share/php/passbolt/bin/cake passbolt healthcheck“ www-data

Ein fehlerfreier GPG-Abschnitt sollte folgende Ergebnisse anzeigen:
[PASS] Der OpenPGP-Schlüssel des Servers ist nicht der Standardschlüssel.
[PASS] Die Datei mit dem öffentlichen Schlüssel ist definiert und lesbar.
[PASS] Die Datei mit dem privaten Schlüssel ist definiert und lesbar.
[PASS] Der Fingerabdruck des Serverschlüssels stimmt überein.
[PASS] Der private Schlüssel kann zum Entschlüsseln einer Nachricht verwendet werden.
Wichtige Abschnitte sind:
- Umgebung
- Konfigurationsdateien
- Kernkonfiguration
- GPG-Konfiguration
- JWT-Authentifizierung
- Datenbank
- Metadaten
- Anwendungskonfiguration
Wenn Du eine IP-Adresse über HTTP verwendest, werden möglicherweise folgende Warnungen oder Fehler angezeigt:
[FAIL] Passbolt ist nicht so konfiguriert, dass die Verwendung von SSL erzwungen wird.
[FAIL] App.fullBaseUrl ist nicht auf HTTPS gesetzt.
Dies ist beim Testen mit einer IP-Adresse zu erwarten.
Für den Produktivbetrieb behebe dies, indem Du eine echte Domain und HTTPS verwendest.
Schritt 12: Erstelle das Administratorkonto
Falls der Installer den ersten Admin-Benutzer nicht automatisch anlegt, erstelle ihn manuell.
Verwende diesen Befehl:
sudo su -s /bin/bash -c „/usr/share/php/passbolt/bin/cake passbolt register_user -u admin@example.com -f Vorname -l Nachname -r admin“ www-data

Der Befehl gibt einen Registrierungslink aus.
Öffne den Link in Deinem Browser, um die Einrichtung abzuschließen.
Während der Einrichtung wirst Du:
- Die Passbolt-Browsererweiterung installieren
- Deine Passphrase erstellen
- Dein Wiederherstellungskit herunterladen
- Die Kontoaktivierung abschließen

Wichtig: Bewahre Dein Wiederherstellungskit sicher auf. Wenn Du Deine Passphrase oder Dein Wiederherstellungskit verlierst, kann es schwierig bis unmöglich sein, den Zugriff wiederherzustellen.
Schritt 13: Auf das Passbolt-Dashboard zugreifen
Wenn Du eine Domain mit HTTPS verwendet hast:
Wenn Du eine IP-Adresse zum Testen verwendet hast:
http://your_server_ip

Nach Abschluss der Admin-Einrichtung solltest du auf das Passbolt-Dashboard zugreifen können.
Häufige Probleme bei der Passbolt-Installation
- Das Installationsskript bricht ab, weil PHP bereits installiert ist: Das Skript zur Einrichtung des Passbolt-Repositorys ist für einen leeren Server vorgesehen. Wenn PHP bereits installiert ist, bricht das Skript möglicherweise ab und zeigt eine Fehlermeldung an.
Lösung: Verwende nach Möglichkeit einen neuen Server oder entferne die vorhandene PHP-Installation, bevor Du das Einrichtungsskript erneut ausführst.
- Fehler bei der Datenbankverbindung: Passbolt kann möglicherweise keine Verbindung zu MySQL oder MariaDB herstellen, wenn die Datenbank-Anmeldedaten falsch sind oder dem Datenbankbenutzer die erforderlichen Berechtigungen fehlen.
Lösung: Überprüfe den Datenbank-Hostnamen, den Benutzernamen, das Passwort und den Datenbanknamen. Stelle sicher, dass der Datenbankbenutzer Zugriff auf die Passbolt-Datenbank hat, und führe den Passbolt-Health-Check-Befehl aus, um Konfigurationsprobleme zu identifizieren.
- Konflikte mit Nginx oder dem Webserver: Die Installation kann fehlschlagen, wenn ein anderer Webserver, Reverse-Proxy oder eine andere Anwendung bereits die Ports 80 oder 443 nutzt.
Lösung: Überprüfe, welcher Dienst die benötigten Ports nutzt, beende die konfliktauslösenden Dienste und starte Nginx nach der Aktualisierung der Konfiguration neu.
- Kein Zugriff auf die Passbolt-Weboberfläche: Die Passbolt-Einrichtungsseite wird möglicherweise aufgrund von Firewall-Einschränkungen, DNS-Problemen oder Konfigurationsfehlern des Webservers nicht geladen.
Lösung: Überprüfe, ob Nginx läuft, stelle sicher, dass die Ports 80 und 443 offen sind, und vergewissere Dich, dass Dein Domainname oder die Server-IP auf den richtigen Server verweist.
- Probleme bei der SSL-Zertifikatskonfiguration: Die HTTPS-Einrichtung kann fehlschlagen, wenn der Domainname falsch konfiguriert ist oder das SSL-Zertifikat nicht validiert werden kann.
Lösung: Stelle sicher, dass Deine Domain auf die öffentliche IP-Adresse des Servers verweist, überprüfe, ob die Ports 80 und 443 erreichbar sind, und verwende einen gültigen Domainnamen, wenn Du Let’s Encrypt-Zertifikate anforderst.
- Probleme bei der E-Mail-Zustellung: Benutzer erhalten möglicherweise keine Einladungen, Benachrichtigungen oder E-Mails zur Passwortwiederherstellung, wenn die SMTP-Einstellungen unvollständig oder falsch sind.
Lösung: Überprüfe die SMTP-Serverdaten, die Anmeldedaten und die Einstellungen für ausgehende E-Mails.
Entdecke weitere self-hosted Anwendungen für Deinen VPS
Vielleicht möchtest Du Dich nach weiteren self-hosted Anwendungen umsehen, die Dir helfen, Dateien, Inhalte, Dokumentationen oder geschäftliche Arbeitsabläufe auf Deiner eigenen Infrastruktur zu verwalten. Durch das Self-hosting mehrerer Anwendungen auf einem VPS behältst Du mehr Kontrolle über Deine Daten und bist gleichzeitig weniger auf Cloud-Dienste von Drittanbietern angewiesen.
Wenn Du daran interessiert bist, Deine self-hosted Umgebung zu erweitern, schau Dir unsere entsprechenden Anleitungen an:
- So installierst Du HomeDock OS auf einem VPS
- So installierst Du ApplyPilot auf einem VPS
- So installierst Du X-Reader auf einem VPS
- So installierst Du Calibre-Web Automated
- So installierst Du Ralph Loop auf einem VPS
- So installierst Du Magento auf einem VPS
Jede Anleitung enthält Schritt-für-Schritt-Anweisungen für die Bereitstellung und Verwaltung einer self-hosted Anwendung auf einem VPS, was den Aufbau einer sicheren und anpassbaren Hosting-Umgebung erleichtert.
Fazit
Da Unternehmen immer mehr Konten, Anwendungen und gemeinsam genutzte Zugangsdaten verwalten müssen, wird ein sicheres, zentralisiertes Passwortverwaltungssystem unverzichtbar. Passbolt bietet eine Open-Source-Lösung, mit der Teams Passwörter speichern, organisieren und teilen können, während gleichzeitig strenge Sicherheitskontrollen und Transparenz beim Umgang mit sensiblen Daten gewährleistet sind.
Für Unternehmen, die Wert auf Datensouveränität, Datenschutz und Kontrolle über die Infrastruktur legen, bietet das Self-hosting von Passbolt eine praktische Alternative zu cloudbasierten Passwortmanagern. Indem ihr Passbolt auf eurem eigenen Server betreibt, behaltet ihr die Kontrolle über eure Zugangsdaten, Sicherheitsrichtlinien und die Hostingumgebung und profitiert gleichzeitig von einer Plattform, die speziell für die sichere Zusammenarbeit im Team entwickelt wurde.



