automation-suite

2024.10

true

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Automation Suite in OpenShift – Installationsanleitung

Letzte Aktualisierung 12. Juni 2025

Verwalten der Zertifikate

Wichtig:

Bei der Installation werden selbstsignierte Zertifikate in Ihrem Namen generiert. Sie sollten sie durch Zertifikate ersetzen, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden, sobald die Installation abgeschlossen ist.

Sie können das CLI-Tool uipathctl verwenden, um Zertifikate nach der Installation zu aktualisieren. Weitere Informationen finden Sie in der uipathctl-Dokumentation.

Generieren einer Certificate Signing Request (CSR) und eines privaten Schlüssels

Führen Sie den folgenden Befehl aus, um die CSR und den privaten Schlüssel zu generieren:

# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf

# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN,DNS:apps.$AS_FQDN
EOF

# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf

# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN,DNS:apps.$AS_FQDN
EOF

# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr

Ihr IT-Team verwendet die erhaltenen Werte, um ein signiertes Zertifikat zu generieren. Der generierte private Schlüssel bleibt lokal.

Verwalten des TLS-Zertifikats

Um weitere Informationen zum Aktualisieren der TLS-Zertifikate anzuzeigen, führen Sie den folgenden Befehl aus:

uipathctl config update-tls-certificates --helpuipathctl config update-tls-certificates --help

Ausgabe:

************************************************************************************
Manage tls certificates

Usage:
  uipathctl config tls-certificates [flags]
  uipathctl config tls-certificates [command]

Available Commands:
  get         Get the current tls certificates
  update      Update tls certificates

Flags:
  -h, --help   help for tls-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************************************************************************************************
Manage tls certificates

Usage:
  uipathctl config tls-certificates [flags]
  uipathctl config tls-certificates [command]

Available Commands:
  get         Get the current tls certificates
  update      Update tls certificates

Flags:
  -h, --help   help for tls-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************

Suchen der TLS-Zertifikate

Zertifikate werden als geheimer Schlüssel auf Istio-Ebene gespeichert. Sie finden Zertifikate unter dem Namen istio-ingressgateway-certs im Namespace <istio-system> .

Sehen Sie sich die Zertifikatsdateien in der folgenden Liste an:

Das Server-TLS-Zertifikat wird als tls.crt gespeichert.
Privater Server-TLS-Schlüssel als tls.key
CA-Paket wird als ca.crt gespeichert.

Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:

oc -n <istio-system> get secrets istio-ingressgateway-certs -o yamloc -n <istio-system> get secrets istio-ingressgateway-certs -o yaml

Zertifikate werden auch im Namespace <uipath> gespeichert. Das gilt für jedes UiPath®-Produkt, das Zertifikatinformationen benötigt, um eingehenden Aufrufen zu vertrauen. Weitere Informationen finden Sie unter Grundlegendes zur Containerarchitektur bezüglich Zertifikaten.

Aktualisieren der TLS-Zertifikate

Wichtig:

Sie müssen den Zertifikatschlüssel entschlüsseln, bevor Sie das Serverzertifikat aktualisieren. Das Überspringen des Entschlüsselungsschritts würde zu einem Fehler führen.

Führen Sie den folgenden Befehl aus, um den Zertifikatschlüssel zu entschlüsseln:

# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key

Um das Zertifikat zu aktualisieren, führen Sie den folgenden uipathctl -Befehl aus. Sie benötigen den Pfad zu jeder der drei Zertifikatsdateien. Alle Zertifikatsdateien müssen das Format pem haben.

Zertifizierungsstellenpaket – Dieses Paket darf nur die Kettenzertifikate enthalten, die zum Signieren des TLS-Serverzertifikats verwendet werden. Das in der Option --cacert bereitgestellte Zertifikat darf keine Blattzertifikate enthalten. Das Kettenlimit beträgt bis zu neun Zertifikate.
Serverzertifikat – Öffentliches Serverzertifikat
Hinweis: Die Datei server.crt muss die gesamte Kette enthalten, wie im folgenden Beispiel gezeigt:
```
-----server cert-----
-----root ca chain----------server cert-----
-----root ca chain-----
```
Privater Schlüssel – Privater Schlüssel für das Serverzertifikat

uipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.keyuipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.key

Wenn Sie die Zertifikate selbst verwalten möchten, müssen Sie das Flag --use-istio-cert mit dem Befehl zum Aktualisieren der Zertifikate verwenden. Dieses Flag ermöglicht das Kopieren der vorhandenen geheimen Clientschlüssel in den <uipath> -Namespace. Beachten Sie, dass Sie bei Verwendung des Flags --use-istio-cert keine anderen Zertifikats-Flags verwenden dürfen, da der Befehl andernfalls fehlschlägt. Wenn Sie einen anderen Namespace anstelle von <uipath> verwenden, müssen Sie ihn angeben, indem Sie ihn an das Flag --namespace übergeben.

Zugriff auf das TLS-Zertifikat

Um die Zertifikatsdateien auszudrucken, führen Sie den folgenden Befehl aus:

uipathctl config tls-certificates getuipathctl config tls-certificates get

Verwalten zusätzlicher Zertifikate von Zertifizierungsstellen

Wichtig:

Wenn der Cluster externer Software vertrauen soll, müssen Sie möglicherweise zusätzliche vertrauenswürdige Zertifizierungsstellen bereitstellen. Beispiele sind das SQL Server-Zertifizierungsstellenzertifikat, das SMTP-Server-Zertifizierungsstellenzertifikat und das externe S3-kompatible Objektspeicher-Zertifizierungsstellenzertifikat.

Sie müssen Zertifikate von Zertifizierungsstellen für jede externe Software bereitstellen, die während der Installation sichere TLS-Kommunikation erfordert. Wenn Sie die TLS-Kommunikation jedoch nicht aktiviert haben, können Sie sie nach der Installation konfigurieren.

Um weitere Informationen über zusätzliche Zertifikate von Zertifizierungsstellen anzuzeigen, führen Sie den folgenden Befehl aus:

uipathctl config additional-ca-certificates --help uipathctl config additional-ca-certificates --help

Ausgabe:

***************************************************************************************

Manage additional ca certificates

Usage:
  uipathctl config additional-ca-certificates [flags]
  uipathctl config additional-ca-certificates [command]

Available Commands:
  get         Get the current additional ca certificates
  update      Update additional ca certificates

Flags:
  -h, --help   help for additional-ca-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

******************************************************************************************************************************************************************************

Manage additional ca certificates

Usage:
  uipathctl config additional-ca-certificates [flags]
  uipathctl config additional-ca-certificates [command]

Available Commands:
  get         Get the current additional ca certificates
  update      Update additional ca certificates

Flags:
  -h, --help   help for additional-ca-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

***************************************************************************************

In den folgenden Abschnitten werden die Vorgänge beschrieben, die Sie mit dem Befehl uipathctl config additional-ca-certificates ausführen können.

Aktualisieren der Zertifikate von Zertifizierungsstellen

Bevor Sie den Befehl ausführen, müssen Sie die Datei input.json aktualisieren, damit sie auf die Datei mit additional_ca_certs verweist. Weitere Informationen zu diesem Parameter finden Sie unter Zertifikatkonfiguration.

Mit diesem Befehl können Sie die vorhandenen konfigurierten Zertifizierungsstellenzertifikate aktualisieren oder ersetzen.

uipathctl manifest apply input.json/cluster_config.json --versions versions.jsonuipathctl manifest apply input.json/cluster_config.json --versions versions.json

Hinweis:

Um die alten Zertifikate anzufügen, müssen Sie den Befehl get aus dem Abschnitt Zugriff auf die Zertifikate von Zertifizierungsstellen verwenden und sie in der Datei .pem des Zertifizierungsstellenzertifikats anfügen, die Sie im Feld additional_ca_certs angeben müssen.

Die Zertifikatspaketdatei von der Zertifizierungsstelle muss in einem gültigen .pem-Format sein und kann mehr als ein Zertifikat enthalten.

Zugriff auf das Zertifikat von einer Zertifizierungsstelle

Um die bereits konfigurierten Zertifikate von Zertifizierungsstellen herunterzuladen, führen Sie den folgenden Befehl aus:

uipathctl config additional-ca-certificates get uipathctl config additional-ca-certificates get

Verwalten von Identitätstoken-Signaturzertifikaten

Die Automation Suite bietet zwei Methoden, um die Rotation von Identitätstoken-Signaturzertifikaten zu verwalten: automatisch und manuell.

Um weitere Informationen zu Identitätstoken-Signaturzertifikaten anzuzeigen, führen Sie den folgenden Befehl aus:

uipathctl config token-signing-certificates --help uipathctl config token-signing-certificates --help

Ausgabe:

************************************************************************************

Manage token signing certificates

Usage:
  uipathctl config token-signing-certificates [flags]
  uipathctl config token-signing-certificates [command]

Available Commands:
  get         Get the current token signing certificate
  rotate      Rotate token signing certificates
  update      Update future token signing certificate

Flags:
  -h, --help   help for token-signing-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************************************************************************************************

Manage token signing certificates

Usage:
  uipathctl config token-signing-certificates [flags]
  uipathctl config token-signing-certificates [command]

Available Commands:
  get         Get the current token signing certificate
  rotate      Rotate token signing certificates
  update      Update future token signing certificate

Flags:
  -h, --help   help for token-signing-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************

Wichtig:

Sie können eine maximale Schlüssellänge von 4096 Bit zum Signieren von Zertifikaten verwenden. Als Best Practice empfehlen wir dringend, eine Schlüssellänge von mindestens 512 Bit (64 Byte) zu verwenden.

Im folgenden Abschnitt finden Sie Details zu den Vorgängen, die Sie mit dem Befehl uipathctl config token-signing-certificates ausführen können.

Automatische Zertifikatsrotation

Automatische Zertifikatsrotation bedeutet, dass die Automation Suite den Lebenszyklus der Signaturschlüssel verwaltet. Dazu gehören das Rotieren von Schlüsseln alle 90 Tage, die Ankündigung neuer Schlüssel 14 Tage vor der Rotation, die Aufbewahrung alter Schlüssel für 14 Tage nach der Rotation und das Löschen nach Ablauf des 14-Tage-Zeitraums.

Wenn Sie von einer älteren Version auf 2024.10 aktualisieren, ist die automatische Zertifikatsrotation standardmäßig deaktiviert. Um die automatische Schlüsselverwaltung zu aktivieren, verwenden Sie den folgenden Befehl:

uipathctl config token-signing-certificates automatic-key-management enableuipathctl config token-signing-certificates automatic-key-management enable

Wichtig:

Die Aktivierung der automatischen Zertifikatsrotation kann zu einer Ausfallzeit von bis zu einer Stunde führen.

Die automatische Zertifikatsrotation ist standardmäßig für Neuinstallationen der Automation Suite aktiviert. Um die automatische Schlüsselverwaltung zu deaktivieren, verwenden Sie den folgenden Befehl:

uipathctl config token-signing-certificates automatic-key-management disableuipathctl config token-signing-certificates automatic-key-management disable

Wenn die automatische Verwaltungsfunktion deaktiviert ist, müssen Signaturzertifikate manuell aktualisiert und rotiert werden. Weitere Informationen zur manuellen Schlüsselverwaltung finden Sie in der Dokumentation zum manuellen Aktualisieren und Rotieren des Zertifikats.

Manuelles Aktualisieren des Zertifikats

Führen Sie den folgenden Befehl aus, um das neue Zertifikat zum Signieren des Tokens hochzuladen:

Hinweis:

Der folgende Befehl ersetzt nicht das vorhandene Tokensignaturzertifikat.

Stellen Sie sicher, dass das von Ihnen bereitgestellte Zertifikat das Format .pem hat.

Die Datei server.crt muss die gesamte Kette enthalten, wie im folgenden Beispiel gezeigt:

-----server cert-----
-----root ca chain----------server cert-----
-----root ca chain-----

uipathctl config token-signing-certificates update --cert server.crt --key server.keyuipathctl config token-signing-certificates update --cert server.crt --key server.key

Manuelles Rotieren des Zertifikats

Um das alte Zertifikat zu rotieren oder durch das neue zu ersetzen, führen Sie den folgenden Befehl aus:

uipathctl config token-signing-certificates rotateuipathctl config token-signing-certificates rotate

Starten Sie nach der Rotation Bereitstellungen und StatefulSets neu, indem Sie die folgenden Befehle ausführen:

kubectl -n uipath rollout restart deploy
kubectl -n uipath rollout restart stskubectl -n uipath rollout restart deploy
kubectl -n uipath rollout restart sts

Zugreifen auf das Zertifikat

Um das aktuelle Tokensignaturzertifikat herunterzuladen, führen Sie den folgenden Befehl aus:

uipathctl config token-signing-certificates getuipathctl config token-signing-certificates get

Hinweis:

Zwischen der Zertifikatsaktualisierung und dem Rotieren sollte eine Vorlaufzeit von etwa 24-48 Stunden liegen.

Wir benötigen diese Vorlaufzeit, um die Authentifizierung für zwischengespeicherte Token, die von einem alten Zertifikat signiert wurden, weiterhin unterstützen zu können.

Wenn Sie das Zertifikat zu früh vor dem Ablauf des Cache-Tokens rotieren, kann dies zu Ausfallzeiten führen. In diesem Fall müssen Sie möglicherweise alle Ihre Roboter neu starten.

Auf dieser Seite