orchestrator
2023.10
false
UiPath logo, featuring letters U and I in white

Installationsanleitung für den Orchestrator

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Letzte Aktualisierung 5. Dez. 2024

Voraussetzungen für die Installation

Abgesehen von den hier aufgeführten Voraussetzungen für die Orchestrator-Installation benötigt der Identity Server gültige Zertifikate.

Zertifikat

Identity Server erfordert folgende gültige Zertifikate:

  • Ein Zertifikat für das HTTPS-Protokoll.
  • Ein Zertifikat, das zum Signieren der von Identity Server generierten Token verwendet wird. Das Zertifikat wird zum Signieren von OpenID-Zugriffstoken verwendet, die für die Benutzeridentifizierung über den Browser und für die Dienst-zu-Dienst-Kommunikation zwischen Orchestrator und Identity Server verwendet werden. Klicken Sie hier für weitere Informationen zu OpenID Connect.

    Wichtig:

    Sie können eine maximale Schlüssellänge von 4096 Bit zum Signieren von Zertifikaten verwenden. Als Best Practice empfehlen wir dringend, eine Schlüssellänge von mindestens 512 Bit (64 Byte) zu verwenden.

    Wichtig:

    Aus Sicherheitsgründen muss das vom Identity Server verwendete Zertifikat:

    • einen öffentlichen Schlüssel mit 2048 Bit haben
    • über einen privaten Schlüssel verfügen, auf den der AppPool-Benutzer zugreifen kann,
    • in seinem Gültigkeitszeitraum sein (nicht abgelaufen).
    Der Speicherort des Zertifikats wird in der Konfigurationsdatei appsettings.Production.json von Identity Server im Abschnitt Signierungsanmeldeinformationen festgelegt.

Zertifikatsrotation

Sie können die Zertifikatsrotation einsetzen, um das Risiko eines Ablaufs des Zertifikats und implizit eines Ausfalls von Identity Server zu vermeiden. Diese Methode beinhaltet die Beibehaltung von zwei Zertifikaten und deren regelmäßige Rotation. Beachten Sie jedoch, dass Sie jeweils nur einen Signaturschlüssel verwenden können.

Führen Sie die folgenden Schritte aus, um die Zertifikatsrotation zu initiieren:

  1. Geben Sie Name, Location und NameType des ursprünglichen Zertifikats mithilfe des StoreLocation-Parameters im Abschnitt SigningCredentialSettings von appsettings.Production.json an. Beachten Sie, dass dies der Standardsignaturschlüssel ist.
  2. Geben Sie Name, Locationund NameType des zweiten Zertifikats an, indem Sie den Parameter ValidationKeys im gleichen Abschnitt der appsettings.Production.json-Datei verwenden. Stellen Sie sicher, dass Sie diesen Schritt vor dem Rotationsdatum ausführen.
  3. In dieser Phase wird das zweite Zertifikat mit dem Endpunkt identity/.well-known/openid-configuration/jwks veröffentlicht. Dadurch wird sichergestellt, dass jeder genügend Zeit hat, sein zwischengespeichertes Discovery-Dokument zu aktualisieren.
  4. Wechseln Sie zum Zeitpunkt der Rotation die Zertifikate, und starten Sie Identity Server neu. Das neue Zertifikat kann nun zum Signieren verwendet werden, während das vorherige Zertifikat weiterhin für Validierungszwecke verfügbar ist, solange Sie es benötigen.
  5. Das vorherige Zertifikat kann nach 48 Stunden sicher aus der Konfiguration entfernt werden.
Im folgenden Beispiel verweist SigningCredential auf das aktuell verwendete Zertifikat, während ValidationKeys auf den neu veröffentlichten Validierungsschlüssel verweist.
"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }
Wichtig: Wenn Sie AI Center verwenden, stellen Sie sicher, dass Sie es erneut bereitstellen, wenn Sie das Identity Server-Zertifikat aktualisieren.
Auswirkungen auf die AppSettings.Production.json -Verschlüsselung
Das Rotieren der Zertifikate kann sich auf die Verschlüsselung von AppSetting.Production.json -Daten auswirken.

Um Signaturzertifikate zu rotieren und gleichzeitig die Verschlüsselung der Einstellungen zu schützen, gehen Sie wie folgt vor:

  1. Entschlüsselt die Datei AppSettings.Production.json.
  2. Aktualisieren Sie das Signaturzertifikat in der Datei AppSettings.Production.json .
  3. Verschlüsselt die Datei AppSettings.Production.json.
  4. Starten Sie Identity Server neu.
  • Zertifikat
  • Zertifikatsrotation

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten