- Überblick
- Anforderungen
- Installation
- Voraussetzungsprüfungen
- Herunterladen der Installationspakete
- uipathctl-Cluster
- uipathctl-Clusterwartung
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl-Cluster-Upgrade
- uipathctl config
- uipathctl config-Warnungen
- uipathctl config Alerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config additional-ca-certificates get
- uipathctl config tls-certificates get
- uipathctl config Orchestrator
- uipathctl config Orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config additional-ca-certificates update
- uipathctl config tls-certificates update
- UiPathctl-Zustand
- Uipathctl-Gesundheitspaket
- Uipathctl-Zustandsprüfung
- uipathctl health diagnose
- uipathctl health test
- uipathctl Identity
- uipathctl identity add-host-admin
- uipathctl Identity Enable-Basisauthentifizierung
- uipathctl identity get-saml-certificate
- uipathctl identity get-token-signing-certificate
- uipathctl identity rotate-saml-certificates
- uipathctl identity rotate-token-signing-certificates
- uipathctl identity update-saml-certificate
- uipathctl identity update-token-signing-certificate
- uipathctl-Manifest
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl Manifest list-applications
- uipathctl manifest render
- uipathctl-Voraussetzung
- uipathctl prereq create
- uipathctl prereq run
- „uipathctl“-Ressource
- uipathctl-Ressourcenbericht
- uipathctl-Snapshot
- uipathctl-Snapshot-Sicherung
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl SSO
- uipathctl ssoGenerate-Connector
- uipathctl sso generate-overlays
- uipathctl sso generate-rbac
- uipathctl-Version
- Nach der Installation
- Migration und Upgrade
- Aktualisieren der Automation Suite auf EKS/AKS
- Migrationsoptionen
- Schritt 1: Verschieben der Identitätsorganisationsdaten von einer eigenständigen in die Automation Suite
- Schritt 2: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 3: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 4: Zusammenführen von Organisationen in der Automation Suite
- Schritt 5: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 6: Migrieren von eigenständigen Insights
- Schritt 7: Löschen des Standardmandanten
- B) Migration von einzelnen Mandanten
- Überwachung und Warnungen
- Clusterverwaltung
- Produktspezifische Konfiguration
- Fehlersuche und ‑behebung
Verwalten der Zertifikate
Bei der Installation werden selbstsignierte Zertifikate in Ihrem Namen generiert. Sie sollten sie durch Zertifikate ersetzen, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden, sobald die Installation abgeschlossen ist.
uipathctl
-CLI-Tool verwenden, um Zertifikate nach der Installation zu aktualisieren. Weitere Informationen finden Sie in der uipathctl-Dokumentation.
Führen Sie den folgenden Befehl aus, um die CSR und den privaten Schlüssel zu generieren:
# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr
# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr
Ihr IT-Team verwendet die erhaltenen Werte, um ein signiertes Zertifikat zu generieren. Der generierte private Schlüssel bleibt lokal.
Um weitere Informationen zum Aktualisieren der TLS-Zertifikate anzuzeigen, führen Sie den folgenden Befehl aus:
uipathctl config update-tls-certificates --help
uipathctl config update-tls-certificates --help
Ausgabe:
************************************************************************************
Manage tls certificates
Usage:
uipathctl config tls-certificates [flags]
uipathctl config tls-certificates [command]
Available Commands:
get Get the current tls certificates
update Update tls certificates
Flags:
-h, --help help for tls-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
************************************************************************************
************************************************************************************
Manage tls certificates
Usage:
uipathctl config tls-certificates [flags]
uipathctl config tls-certificates [command]
Available Commands:
get Get the current tls certificates
update Update tls certificates
Flags:
-h, --help help for tls-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
************************************************************************************
istio-ingressgateway-certs
im Namespace istio-system
.
Sehen Sie sich die Zertifikatsdateien in der folgenden Liste an:
-
Das Server-TLS-Zertifikat wird als
tls.crt
gespeichert. -
Privater Server-TLS-Schlüssel als
tls.key
-
CA-Paket wird als
ca.crt
gespeichert.
Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:
kubectl -n istio-system get secrets istio-ingressgateway-certs -o yaml
kubectl -n istio-system get secrets istio-ingressgateway-certs -o yaml
Zertifikate werden auch im UiPath-Namespace gespeichert. Das gilt für jedes UiPath®-Produkt, das Zertifikatinformationen benötigt, um eingehenden Aufrufen zu vertrauen. Weitere Informationen finden Sie unter Grundlegendes zur Containerarchitektur bezüglich Zertifikaten.
Sie müssen den Zertifikatschlüssel entschlüsseln, bevor Sie das Serverzertifikat aktualisieren. Das Überspringen des Entschlüsselungsschritts würde zu einem Fehler führen.
Führen Sie den folgenden Befehl aus, um den Zertifikatschlüssel zu entschlüsseln:
# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key
# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key
uipathctl
-Befehl aus. Sie benötigen den Pfad zu jeder der drei Zertifikatsdateien. Alle Zertifikatsdateien müssen das Format pem
haben.
-
Zertifizierungsstellenpaket – Dieses Paket darf nur die Kettenzertifikate enthalten, die zum Signieren des TLS-Serverzertifikats verwendet werden. Das in der Option
--cacert
bereitgestellte Zertifikat darf keine Blattzertifikate enthalten. Das Kettenlimit beträgt bis zu neun Zertifikate. -
Serverzertifikat – Öffentliches Serverzertifikat
-
Privater Schlüssel – Privater Schlüssel für das Serverzertifikat
uipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.key
uipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.key
Um weitere Informationen über zusätzliche Zertifikate von Zertifizierungsstellen anzuzeigen, führen Sie den folgenden Befehl aus:
uipathctl config additional-ca-certificates --help
uipathctl config additional-ca-certificates --help
Ausgabe:
***************************************************************************************
Manage additional ca certificates
Usage:
uipathctl config additional-ca-certificates [flags]
uipathctl config additional-ca-certificates [command]
Available Commands:
get Get the current additional ca certificates
update Update additional ca certificates
Flags:
-h, --help help for additional-ca-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
***************************************************************************************
***************************************************************************************
Manage additional ca certificates
Usage:
uipathctl config additional-ca-certificates [flags]
uipathctl config additional-ca-certificates [command]
Available Commands:
get Get the current additional ca certificates
update Update additional ca certificates
Flags:
-h, --help help for additional-ca-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
***************************************************************************************
Mit diesem Befehl können Sie die vorhandenen konfigurierten Zertifizierungsstellenzertifikate aktualisieren oder ersetzen.
uipathctl config additional-ca-certificates update --cacert additional_ca.crt
uipathctl config additional-ca-certificates update --cacert additional_ca.crt
--replace
am Ende anhängen.
.pem
-Format sein und kann mehr als ein Zertifikat enthalten.
Um weitere Informationen zu Identitätstoken-Signaturzertifikaten anzuzeigen, führen Sie den folgenden Befehl aus:
uipathctl config token-signing-certificates --help
uipathctl config token-signing-certificates --help
Ausgabe:
************************************************************************************
Manage token signing certificates
Usage:
uipathctl config token-signing-certificates [flags]
uipathctl config token-signing-certificates [command]
Available Commands:
get Get the current token signing certificate
rotate Rotate token signing certificates
update Update future token signing certificate
Flags:
-h, --help help for token-signing-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
************************************************************************************
************************************************************************************
Manage token signing certificates
Usage:
uipathctl config token-signing-certificates [flags]
uipathctl config token-signing-certificates [command]
Available Commands:
get Get the current token signing certificate
rotate Rotate token signing certificates
update Update future token signing certificate
Flags:
-h, --help help for token-signing-certificates
Global Flags:
--context string name of the kubeconfig context to use
--kubeconfig string kubectl configuration file (default: ~/.kube/config)
--log-format string log format. one of [text,json] (default "text")
--log-level string set log level. one of [trace,debug,info,error] (default "error")
-q, --quiet suppress all output except for errors and warnings
--timeout duration timeout of the command (default 1h0m0s)
************************************************************************************
Führen Sie den folgenden Befehl aus, um das neue Zertifikat zum Signieren des Tokens hochzuladen:
Der folgende Befehl ersetzt nicht das vorhandene Tokensignaturzertifikat.
.pem
hat.
uipathctl config token-signing-certificates update --cert server.crt --key server.key
uipathctl config token-signing-certificates update --cert server.crt --key server.key
Um das alte Zertifikat zu rotieren oder durch das neue zu ersetzen, führen Sie den folgenden Befehl aus:
uipathctl config token-signing-certificates rotate
uipathctl config token-signing-certificates rotate
Um das aktuelle Tokensignaturzertifikat herunterzuladen, führen Sie den folgenden Befehl aus:
uipathctl config token-signing-certificates get
uipathctl config token-signing-certificates get
Zwischen der Zertifikatsaktualisierung und dem Rotieren sollte eine Vorlaufzeit von etwa 24-48 Stunden liegen.
Wir benötigen diese Vorlaufzeit, um die Authentifizierung für zwischengespeicherte Token, die von einem alten Zertifikat signiert wurden, weiterhin unterstützen zu können.
Wenn Sie das Zertifikat zu früh vor dem Ablauf des Cache-Tokens rotieren, kann dies zu Ausfallzeiten führen. In diesem Fall müssen Sie möglicherweise alle Ihre Roboter neu starten.
- Generieren einer Certificate Signing Request (CSR) und eines privaten Schlüssels
- Verwalten des TLS-Zertifikats
- Suchen der TLS-Zertifikate
- Aktualisieren der TLS-Zertifikate
- Zugriff auf das TLS-Zertifikat
- Verwalten zusätzlicher Zertifikate von Zertifizierungsstellen
- Aktualisieren der Zertifikate von Zertifizierungsstellen
- Zugriff auf das Zertifikat von einer Zertifizierungsstelle
- Verwalten von Identitätstoken-Signaturzertifikaten
- Aktualisieren des Zertifikats
- Rotieren des Zertifikats
- Zugreifen auf das Zertifikat