Überprüfung der Paketsignatur

Paketsignatur ist eine Methode, mit der NuGet-Pakete zeigen, dass sie von vertrauenswürdigen Quellen stammen. Ein Paket wird mithilfe eines Zertifikats signiert, um die Identität eines Signierers zu überprüfen. Wenn die Bereitstellung darauf eingestellt ist, die Überprüfung der Paketsignatur zu kontrollieren, untersucht UiPath die in der NuGet.config-Datei verfügbaren Informationen auf das angeforderte Zertifikat, um sicherzustellen, dass verbrauchte Pakete von einem zulässigen Autor oder Repository kommen.

Für einen detaillierten Überblick über die Funktionsweise der Paketsignaturüberprüfung lesen Sie sich die Besonderheiten in diesem Abschnitt des Microsoft-Handbuchs über die Datei NuGet.config durch.

Konfigurieren der Paketsignaturüberprüfung

Validierungsmodi

accept – Lässt zu, dass nicht signierte Pakete installiert werden.
require () – Damit ein Paket installiert werden kann, müssen seine Signaturdetails mit denen aus dem Abschnitt trustedSigners von NuGet.config übereinstimmen.

Erzwingen der Verwendung signierter Pakete

Zum Erzwingen der Verwendung von signierten Paketen muss der Parameter signatureValidationMode in der Datei Nuget.config auf require festgelegt werden. Die Datei befindet sich unter %ProgramFiles%\UiPath\Studio. Sie können dies auf zwei Arten tun:

Während der Installation, durch Installieren über die Befehlszeile mit der Option ENFORCE_SIGNED_EXECUTION=1.

Beispielsweise installiert der folgende Befehl Studio sowie einen Roboter als Windows-Dienst und erzwingt die Nutzung signierter Pakete in Ihrer UiPath-Umgebung:
```
UiPathStudio.msi ADDLOCAL=DesktopFeature,Studio,Robot,RegisterService ENFORCE_SIGNED_EXECUTION=1UiPathStudio.msi ADDLOCAL=DesktopFeature,Studio,Robot,RegisterService ENFORCE_SIGNED_EXECUTION=1
```
Nach der Installation durch manuelles Bearbeiten der NuGet.config-Datei.

Wenn Sie den Parameter nach der Installation festlegen, müssen Sie Folgendes tun, bevor die Änderungen wirksam werden:
1. Starten Sie den UiPath-Roboterdienst erneut.
2. Entfernen Sie alle vorhandenen .NuGet-Pakete aus %ProgramFiles%\UiPath\Studio\Packages und %userprofile%\.nuget\packages.
3. Starten Sie Studio/Assistant neu.

Adding Trusted Sources

Um Pakete herunterzuladen, zu installieren und auszuführen, die mit einem bestimmten Zertifikat signiert sind, fügen Sie das Zertifikat als vertrauenswürdige Quelle hinzu.

Dazu müssen Sie die Datei NuGet.config im Installationsordner im Abschnitt <trustedSigners> ändern.

Hinweis: Erfahren Sie mehr über das Hinzufügen oder Entfernen von Aktivitätenfeeds.

Hinzufügen von UiPath als vertrauenswürdigen Unterzeichner

Öffnen Sie die NuGet.config‑Datei aus dem Installationsordner und fügen Sie die folgenden Werte hinzu:

<config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <author name="UiPath">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false"/>
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </author>
   <repository name="UiPathRepository" serviceIndex="https://gallery.uipath.com/api/v3/index.json">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </repository>
</trustedSigners><config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <author name="UiPath">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false"/>
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </author>
   <repository name="UiPathRepository" serviceIndex="https://gallery.uipath.com/api/v3/index.json">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </repository>
</trustedSigners>

Hinzufügen eines vertrauenswürdigen Autors

Um einen vertrauenswürdigen Autor hinzuzufügen, müssen Sie die Datei NuGet.config unter %ProgramFiles%\UiPath\Studio\NuGet.configöffnen. Dann geben Sie certificatefingerprint und hashAlgorithm gemäß dem Beispiel oben an. Auf dieser Seite erhalten Sie weitere Informationen über den Zertifikatsfingerabdruck.

Hinzufügen eines vertrauenswürdigen Repositorys

Beim Hinzufügen eines vertrauenswürdigen Repositorys gehen Sie ungefähr so wie beim Hinzufügen eines Autors vor, nur mit dem Unterschied, dass serviceIndex ebenfalls hinzugefügt werden muss.

Im nachstehenden Beispiel wird ein vertrauenswürdiges Repository zur Datei NuGet.config hinzugefügt:

<trustedSigners>    
<repository name="UiPath Repository" serviceIndex="https://uipath.repository">
<certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
</repository>
</trustedSigners><trustedSigners>    
<repository name="UiPath Repository" serviceIndex="https://uipath.repository">
<certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
</repository>
</trustedSigners>

Hinzufügen vertrauenswürdiger Eigentümer

Ein Repository kann mehrere vom Autor signierte Pakete aufweisen. In diesem Fall kann das <owners>-Tag dazu verwendet werden, nur Pakete zum Installieren zuzulassen, die von vertrauenswürdigen Autoren signiert wurden.

Fügen Sie die vertrauenswürdigen Autoren zwischen den <owners>-Tags hinzu, wie im folgenden Beispiel veranschaulicht.

<trustedSigners>
<repository name="UiPath Repository" serviceIndex="https://uipath.repository">
<certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
<owners>Author1;Author2</owners> 
</repository>
</trustedSigners><trustedSigners>
<repository name="UiPath Repository" serviceIndex="https://uipath.repository">
<certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
<owners>Author1;Author2</owners> 
</repository>
</trustedSigners>

Verhalten von v2021.2

Ab der Version v2021.2 werden die folgenden Einstellungen für die Überprüfung der Paketsignatur bei der Installation nicht mehr in der Nuget.config‑Datei aufgefüllt:

Der Parameter signatureValidationMode wird bei der Installation nicht mehr in der Nuget.config-Datei aufgefüllt.
UiPath wird in der Nuget.config-Datei beim Installieren nicht mehr sowohl als Repository als auch als Autor im trustedSigners-Tag aufgefüllt.

Auswirkungen:

Wenn die Überprüfung der Paketsignatur verwendet wird, müssen alle vertrauenswürdigen Unterzeichner, einschließlich UiPath, manuell in der NuGet.config-Datei hinzugefügt werden.
Wenn die Überprüfung der Paketsignatur nicht verwendet wird, sollte das Tag trustedSigners nicht in der Datei NuGet.config vorhanden sein.
Wenn der NuGet.org-Feed verwendet wird, muss er sowohl für den „accept“- als auch für den „require“-Modus hinzugefügt werden, da NuGet das gesamte Repository als signiert ankündigt.

Um das oben genannte Problem zu beheben, müssen Sie UiPath als vertrauenswürdigen Signierer hinzufügen.

Auf dieser Seite