Abonnieren

UiPath Automation Suite

Die Anleitung für die UiPath Automation Suite

Verwalten der Zertifikate

Es ist wichtig, Ihre Zertifikate nach der Installation zu aktualisieren. Diese Seite bietet umfassende Anweisungen zur Zertifikatsverwaltung.

🚧

Wichtig!

Der Installationsprozess generiert selbstsignierte Zertifikate in Ihrem Namen. Diese Zertifikate laufen in 90 Tagen ab und Sie müssen sie durch Zertifikate ersetzen, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden, sobald die Installation abgeschlossen ist. Wenn Sie die Zertifikate nicht aktualisieren, funktioniert die Installation in 90 Tagen nicht mehr.

Das Installationspaket bietet ein Clusterverwaltungstool, mit dem Sie Zertifikate nach der Installation aktualisieren können. Um auf das Tool zuzugreifen, navigieren Sie zum Speicherort des Installationspakets:

cd /opt/UiPathAutomationSuite/

 

Generieren einer Certificate Signing Request (CSR) und eines privaten Schlüssels


Führen Sie den folgenden Befehl aus, um die CSR und den privaten Schlüssel zu generieren:

# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf

# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF

# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr

Ihr IT-Team verwendet die erhaltenen Werte, um ein signiertes Zertifikat zu generieren. Der generierte private Schlüssel bleibt lokal.

 

Verwalten von Serverzertifikaten


Führen Sie den folgenden Befehl aus, um weitere Informationen zu Serverzertifikaten anzuzeigen.

sudo ./configureUiPathAS.sh tls-cert --help

Ausgabe

************************************************************************************

Manage cluster tls and server certificate

Usage:
  configureUiPathAS.sh tls-cert [command]
  configureUiPathAS.sh tls-cert [flags]

Available Commands:
  update                              Update the tls / server certificate

  get                                 Get the tls / server certificate

Flags:
  -h|--help                           Display help

************************************************************************************

Nachfolgend sehen Sie die Operation, die Sie mit dem Befehl ./configureUiPathAS.sh tls-cert ausführen können.

 

Aktualisieren der Clusterzertifikate


Online-Installation: So finden Sie das Serverzertifikat

Zertifikate werden als Geheimnis auf Istio-Ebene gespeichert. Zertifikate finden Sie unter dem Namen istio-ingressgateway-certs im Namespace istio-system .
Sehen Sie sich die Zertifikatsdateien in der folgenden Liste an:

  • Das Server-TLS-Zertifikat wird als tls.crt gespeichert.
  • Privater Server-TLS-Schlüssel als tls.key
  • CA-Paket wird als ca.crt gespeichert.

Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:

kubectl -n istio-system get secrets istio-ingressgateway-certs -o yaml

Certificates are also stored in the UiPath namespace. This is applicable to every UiPath product that needs certificate information to trust incoming calls. For details, see Understanding the container architecture related to certificates.

Offlineinstallation: So finden Sie das Serverzertifikat

In addition to the certificates required by online deployment, an offline deployment has two additional locations that use the same rootCA.crt and tls.crt: ArgoCD and Docker Registry. Certificates are then stored in both Docker and ArgoCD namespaces.

Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:

# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd cert list --cert-type https

So aktualisieren Sie Serverzertifikate

🚧

Wichtig!

Sie müssen den Zertifikatschlüssel entschlüsseln, bevor Sie das Serverzertifikat aktualisieren. Das Überspringen des Entschlüsselungsschritts würde zu einem Fehler führen.

Führen Sie den folgenden Befehl aus, um den Zertifikatschlüssel zu entschlüsseln:

# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key

Führen Sie das configureUiPathAS.sh-Skript aus, um das Zertifikat wie unten gezeigt anzupassen. Sie benötigen den Pfad zu jeder der drei Zertifikatsdateien. Alle Zertifikatsdateien müssen das Format PEM haben.

  • Zertifizierungsstellenpaket – Dieses Paket sollte nur die Kettenzertifikate enthalten, die zum Signieren des TLS-Serverzertifikats verwendet werden. Das Kettenlimit beträgt bis zu neun Zertifikate.
  • Serverzertifikat – Öffentliches Serverzertifikat
  • Privater Schlüssel – Privater Schlüssel für das Serverzertifikat
sudo ./configureUiPathAS.sh tls-cert update --ca-cert-file /path/to/cacert --tls-cert-file /path/to/tlscert --tls-key-file /path/to/tlskey

Die folgenden Dateien werden unter /directory/path/to/store/certificate gespeichert.

 

Zugriff auf das TLS-Zertifikat


Zum Ausgeben der Zertifikatsdateien führen Sie den folgenden Befehl aus, wobei Sie das Verzeichnis angeben, in dem die Zertifikate gespeichert sind.

sudo ./configureUiPathAS.sh tls-cert get --outpath /directory/path/to/store/certificate

 

Hinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore


Es liegt in Ihrer Verantwortung, sicherzustellen, dass die generierten Zertifikate vertrauenswürdig sind.
Führen Sie die folgenden Befehle aus, um das Zertifikat zum Truststore der Host-VM hinzuzufügen:

# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/

# 2. Update the trust store configuration
update-ca-trust

 

Verwalten zusätzlicher Zertifikate von Zertifizierungsstellen


Führen Sie den folgenden Befehl aus, um weitere Informationen zu zusätzlichen Zertifizierungsstellenzertifikaten anzuzeigen.

./configureUiPathAS.sh additional-ca-certs --help

Ausgabe

***************************************************************************************

Manage additional CA certificates, this can be used to add sql server CA

Usage:
  configureUiPathAS.sh additional-ca-certs [command]
  configureUiPathAS.sh additional-ca-certs [flags]

Available Commands:
  update                              Update the additional trusted CA certificates.

  get                                 Get the additional trusted CA certificates

Flags:
  -h|--help                           Display help

***************************************************************************************

Nachfolgend sehen Sie die Operation, die Sie mit dem Befehl ./configureUiPathAS.sh additional-ca-certs ausführen können.

Aktualisieren der Zertifikate von Zertifizierungsstellen


Mit diesem Befehl können Sie die vorhandenen konfigurierten Zertifizierungsstellenzertifikate aktualisieren oder ersetzen.

./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs

📘

Hinweis:

Der obige Befehl fügt der Liste vorhandener Zertifikate ein neues Zertifikat hinzu. Wenn Sie alle zuvor konfigurierten Zertifikate ersetzen möchten, müssen Sie --replace am Ende anhängen.

Die Zertifikatspaketdatei von der Zertifizierungsstelle muss in einem gültigen .pem-Format sein und kann mehr als ein Zertifikat enthalten.

Zugriff auf das Zertifikat von einer Zertifizierungsstelle


Führen Sie den folgenden Befehl aus, um die bereits konfigurierten Zertifizierungsstellenzertifikate herunterzuladen.

./configureUiPathAS.sh additional-ca-certs get --outpath /path/to/download/certs

 

Hinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore


Es liegt in Ihrer Verantwortung, sicherzustellen, dass die generierten Zertifikate vertrauenswürdig sind.
Führen Sie die folgenden Befehle aus, um das Zertifikat zum Truststore der Host-VM hinzuzufügen:

# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/

# 2. Update the trust store configuration
update-ca-trust

 

Verwalten des Identitätstoken-Signaturzertifikats


Führen Sie den folgenden Befehl aus, um weitere Informationen zu Identitätstoken-Signaturzertifikaten anzuzeigen.

sudo ./configureUiPathAS.sh identity token-cert --help

Ausgabe

************************************************************************************

Manage Identity token signing certificate

Usage:
  configureUiPathAS.sh identity token-cert [command]
  configureUiPathAS.sh identity token-cert [flags]

Available Commands:
  update                              Update secondary certificate to signing
                                        the authentication token
  rotate                              Switch secondary certificate as a primary
                                        token signing certificate
  get                                 Get token signing certificate

Flags:
  -h|--help                           Display help

************************************************************************************

Nachfolgend sehen Sie die Operation, die Sie mit dem Befehl ./configureUiPathAS.sh identity token-cert ausführen können.

Das Tokensignaturzertifikat müssen Sie in zwei Schritten rotieren.

Aktualisieren des Zertifikats


Führen Sie den folgenden Befehl aus, um das neue Zertifikat zum Signieren des Tokens hochzuladen:

📘

Der folgende Befehl ersetzt nicht das vorhandene Tokensignaturzertifikat.
Stellen Sie sicher, dass das von Ihnen bereitgestellte Zertifikat das Format .pem hat.

sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey

Rotieren des Zertifikats


Um das alte Zertifikat zu rotieren oder durch das neue zu ersetzen, führen Sie den folgenden Befehl aus:

sudo ./configureUiPathAS.sh identity token-cert rotate

📘

Hinweis:

Die Vorlaufzeit zwischen der Zertifikat-Aktualisierung und dem Rotieren sollte etwa 24 bis 48 Stunden betragen.
Wir benötigen diese Vorlaufzeit, um die Authentifizierung für zwischengespeicherte Token, die von einem alten Zertifikat signiert wurden, weiterhin unterstützen zu können.
Wenn Sie das Zertifikat zu früh vor dem Ablauf des Cache-Tokens rotieren, kann dies zu Ausfallzeiten führen. Möglicherweise müssen Sie dann auch alle Ihre Roboter neu starten.

Notfall-Zertifikatsrotation


🚧

Wichtig!

Das folgende Verfahren gilt nur für Notfälle. Sie sollten Zertifikate vor ihrem Ablaufdatum rotieren

Führen Sie die folgenden Schritte aus, um eine Notfall-Zertifikatsaktualisierung durchzuführen:

  1. Rufen Sie ein neues Zertifikat ab oder erstellen Sie ein selbstsigniertes Zertifikat und kopieren Sie es auf den Clusterserverknoten, der zum Ausführen der nächsten Rotationsschritte verwendet wird.
Klicken Sie hier, um den Befehl zu erhalten, um ein neues selbstsigniertes Zertifikat zu erstellen
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout identityserver.key -out identityserver.crt
openssl pkcs12 -export -out identityserver.pfx -inkey identityserver.key -in identityserver.crt
  1. Wenn IdentityServer1.pfx abgelaufen ist, rotieren und aktualisieren Sie das Zertifikat. Anweisungen finden Sie unter Rotieren des Zertifikats .

  2. Wenn IdentityServer2.pfx abgelaufen ist, aktualisieren Sie das Zertifikat.

  3. Wenn beide Zertifikate abgelaufen sind, aktualisieren, rotieren und erneut aktualisieren.

  4. Starten Sie alle Bereitstellungen neu. Anweisungen finden Sie unter Fehlerbehebung .

  5. Löschen Sie alle Browser-Caches. Wenn Sie im Inkognito- oder privaten Modus ausführen, können Sie diesen Schritt überspringen.
    a. Drücken Sie bei Firefox STRG+UMSCHALT+ENTF , wählen Sie Cache aus und klicken Sie auf OK .

    b. Drücken Sie in Chrome STRG+UMSCHALT+ENTF , wählen Sie Im Cache gespeicherte Bilder und Dateien aus und klicken Sie auf Daten löschen .

Zugreifen auf das Zertifikat


Führen Sie den folgenden Befehl aus, um das aktuelle Tokensignaturzertifikat herunterzuladen:

sudo ./configureUiPathAS.sh identity token-cert get --outpath /directory/path/to/store/certificate

 

Rancher-Zertifikate verwalten


Standardmäßig laufen Rancher RKE2-Zertifikate in 12 Monaten ab. In den 90 Tagen vor ihrem Ablaufdatum werden Zertifikate rotiert, wenn Sie Rancher neu starten.

To manually rotate the certificates, refer to RKE2 - Advanced Options - Certificate rotation.

Aktualisiert vor 4 Monaten


Verwalten der Zertifikate


Es ist wichtig, Ihre Zertifikate nach der Installation zu aktualisieren. Diese Seite bietet umfassende Anweisungen zur Zertifikatsverwaltung.

Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.