automation-suite
2024.10
false
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía de instalación de Automation Suite en EKS/AKS

Última actualización 15 de dic. de 2025

Gestionar los certificados

Importante:

El proceso de instalación genera certificados autofirmados en tu nombre. Estos certificados caducarán en 90 días. Debes reemplazarlos por certificados firmados por una autoridad de certificación (AC) de confianza tan pronto como se complete la instalación. Si no actualiza los certificados, la instalación dejará de funcionar en 90 días.

Puedes utilizar la herramienta CLI uipathctl para actualizar los certificados después de la instalación. Para obtener más información, consulta la documentación de uipathctl.

Generating a Certificate Signing Request (CSR) and a private key

Para generar el CSR y la clave privada, ejecuta el siguiente comando:

# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf

# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN,DNS:apps.$AS_FQDN
EOF

# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf

# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN,DNS:apps.$AS_FQDN
EOF

# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr

Su equipo de TI utiliza los valores obtenidos para generar un certificado firmado. La clave privada generada sigue siendo local.

Gestionar el certificado TLS

Para ver más información sobre la actualización de los certificados TLS, ejecuta el siguiente comando:

uipathctl config update-tls-certificates --helpuipathctl config update-tls-certificates --help

Salida:

************************************************************************************
Manage tls certificates

Usage:
  uipathctl config tls-certificates [flags]
  uipathctl config tls-certificates [command]

Available Commands:
  get         Get the current tls certificates
  update      Update tls certificates

Flags:
  -h, --help   help for tls-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************************************************************************************************
Manage tls certificates

Usage:
  uipathctl config tls-certificates [flags]
  uipathctl config tls-certificates [command]

Available Commands:
  get         Get the current tls certificates
  update      Update tls certificates

Flags:
  -h, --help   help for tls-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "error")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default 1h0m0s)

************************************************************************************

Encontrar los certificados TLS

Los certificados se almacenan como secreto a nivel de Istio. Puedes encontrar certificados con el nombre istio-ingressgateway-certs en el espacio de nombres <istio-system> .

Consulta los archivos de certificado en la siguiente lista:

  • El certificado TLS del servidor se almacena como tls.crt
  • La clave privada TLS del servidor como tls.key
  • El paquete de CA se almacena como ca.crt

Puedes verificar los secretos utilizando el siguiente comando :

kubectl -n <istio-system> get secrets istio-ingressgateway-certs -o yamlkubectl -n <istio-system> get secrets istio-ingressgateway-certs -o yaml
Los certificados también se almacenan en el espacio de nombres <uipath> . Esto es aplicable a todos los productos de UiPath® que necesitan información de certificado para confiar en las llamadas entrantes. Para obtener más información, consulta Comprender la arquitectura de contenedores relacionada con los certificados.

Actualizar los certificados TLS

Importante: Antes de actualizar el certificado del servidor, debes descifrar la clave privada que se generó en la sección Generar una solicitud de firma de certificado (CSR) y una clave privada . Omitir este paso de descifrado dará como resultado un error.

Para descifrar la clave del certificado, ejecuta el siguiente comando:

# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key
Para actualizar el certificado, ejecuta el siguiente comando uipathctl . Necesitas la ruta a cada uno de los tres archivos de certificado. Todo el archivo del certificado debe estar en formato pem .
  • Paquete de autoridad de certificado: este paquete debe contener solo los certificados de cadena utilizados para firmar el certificado del servidor TLS. El certificado proporcionado en la opción --cacert no debe incluir los certificados de hoja. El límite de la cadena es de hasta nueve certificados.

  • Certificado del servidor: certificado del servidor público

    Nota: El archivo server.crt debe contener toda la cadena, como se muestra en el siguiente ejemplo:
    -----server cert-----
-----root ca chain----------server cert-----
-----root ca chain-----

  • Clave privada: clave privada para el certificado del servidor

uipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.key uipathctl config tls-certificates update --cert server.crt --cacert ca.crt --key server.key
Si decides gestionar los certificados tú mismo, debes utilizar el marcador --use-istio-cert con el comando de actualización de certificados. Este marcador permite que los secretos existentes se copien en el espacio de nombres uipath . Ten en cuenta que, al utilizar el marcador --use-istio-cert , no debes utilizar ningún otro marcador de certificado, de lo contrario el comando falla. Si utilizas otro espacio de nombres en lugar de uipath, debes especificarlo pasándolo al marcador--namespace <uipath> , donde <uipath> representa el espacio de nombres donde se implementa Automation Suite.

Acceder al certificado TLS

Para imprimir los archivos del certificado, ejecute el siguiente comando:

uipathctl config tls-certificates getuipathctl config tls-certificates get

Gestionar certificados de AC adicionales

Para ver más información sobre certificados de CA adicionales, ejecuta el siguiente comando:

 uipathctl config additional-ca-certificates --help uipathctl config additional-ca-certificates --help

Salida:

***************************************************************************************

Manage additional ca certificates

Usage:
  uipathctl config additional-ca-certificates [flags]
  uipathctl config additional-ca-certificates [command]

Available Commands:
  get         Get the current additional ca certificates
  update      Update additional ca certificates

Flags:
  -h, --help   help for additional-ca-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
  -f, --force               override all user prompts to true
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "info")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default: 90 minutes) (default 1h30m0s)
      --versions string     optional path to versions file

Use "uipathctl config additional-ca-certificates [command] --help" for more information about a command.

******************************************************************************************************************************************************************************

Manage additional ca certificates

Usage:
  uipathctl config additional-ca-certificates [flags]
  uipathctl config additional-ca-certificates [command]

Available Commands:
  get         Get the current additional ca certificates
  update      Update additional ca certificates

Flags:
  -h, --help   help for additional-ca-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
  -f, --force               override all user prompts to true
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "info")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default: 90 minutes) (default 1h30m0s)
      --versions string     optional path to versions file

Use "uipathctl config additional-ca-certificates [command] --help" for more information about a command.

***************************************************************************************
Las siguientes secciones describen las operaciones que puedes realizar utilizando el comando uipathctl config additional-ca-certificates .

Actualizar los certificados de AC

Para actualizar los certificados de CA, sigue los siguientes pasos:

  1. Actualiza el archivo input.json para que apunte al archivo con additional_ca_certs. Para obtener más información sobre este parámetro, consulta Configuración de certificados.
  2. Aplicar el manifiesto:
    uipathctl manifest apply input.json --versions versions.jsonuipathctl manifest apply input.json --versions versions.json
    Importante: Este comando puede fallar con errores como:
    Error: [failed to wait for application argocd/<app-name1>: timed out waiting for the condition,
        failed to wait for application argocd/<app-name2>: timed out waiting for the condition]]
Error: [failed to wait for application argocd/<app-name1>: timed out waiting for the condition,
        failed to wait for application argocd/<app-name2>: timed out waiting for the condition]]
    Independientemente del fallo, continúa con el paso 3 para reiniciar las implementaciones y estabilizar el entorno.
  3. Reinicia manualmente todas las implementaciones y conjuntos con estado en el espacio de nombres uipath :
    kubectl rollout restart deployment -n <uipath>
kubectl rollout restart sts -n <uipath>kubectl rollout restart deployment -n <uipath>
kubectl rollout restart sts -n <uipath>
Nota:
Para anexar los certificados antiguos, debes utilizar el comando get de la sección Acceder a los certificados de CA y anexarlos en el archivo .pem del certificado de CA que debes proporcionar en el campo additional_ca_certs .
El archivo del paquete de certificados de AC debe tener un formato .pem válido y puede constar de más de un certificado.

Acceder a los certificados de AC

Para descargar los certificados de CA ya configurados, ejecuta el siguiente comando:

 uipathctl config additional-ca-certificates get uipathctl config additional-ca-certificates get

Gestionar certificados de firma de tokens de identidad

Automation Suite ofrece dos métodos para gestionar la rotación de certificados de firma de tokens de identidad: automático y manual.

Para ver más información sobre los certificados de firma de tokens de identidad, ejecuta el siguiente comando:

 uipathctl config token-signing-certificates --help uipathctl config token-signing-certificates --help

Salida:

************************************************************************************

Manage token signing certificates

Usage:
  uipathctl config token-signing-certificates [flags]
  uipathctl config token-signing-certificates [command]

Available Commands:
  automatic-key-management Manage key management
  get                      Get the current token signing certificate
  rotate                   Rotate token signing certificates
  update                   Update future token signing certificate

Flags:
  -h, --help   help for token-signing-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
  -f, --force               override all user prompts to true
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "info")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default: 90 minutes) (default 1h30m0s)
      --versions string     optional path to versions file

Use "uipathctl config token-signing-certificates [command] --help" for more information about a command.

************************************************************************************************************************************************************************

Manage token signing certificates

Usage:
  uipathctl config token-signing-certificates [flags]
  uipathctl config token-signing-certificates [command]

Available Commands:
  automatic-key-management Manage key management
  get                      Get the current token signing certificate
  rotate                   Rotate token signing certificates
  update                   Update future token signing certificate

Flags:
  -h, --help   help for token-signing-certificates

Global Flags:
      --context string      name of the kubeconfig context to use
  -f, --force               override all user prompts to true
      --kubeconfig string   kubectl configuration file (default: ~/.kube/config)
      --log-format string   log format. one of [text,json] (default "text")
      --log-level string    set log level. one of [trace,debug,info,error] (default "info")
  -q, --quiet               suppress all output except for errors and warnings
      --timeout duration    timeout of the command (default: 90 minutes) (default 1h30m0s)
      --versions string     optional path to versions file

Use "uipathctl config token-signing-certificates [command] --help" for more information about a command.

************************************************************************************
Importante:

Puedes utilizar una longitud máxima de clave de 4096 bits para firmar certificados. Te recomendamos encarecidamente que utilices una longitud de clave de al menos 512 bits (64 bytes) como práctica recomendada.

La siguiente sección proporciona detalles sobre las operaciones que puedes realizar utilizando el comando uipathctl config token-signing-certificates .

Rotación automática de certificados

La rotación automática de certificados significa que Automation Suite gestiona el ciclo de vida de las claves de firma. Esto incluye rotar las claves cada 90 días, anunciar nuevas claves 14 días antes de la rotación, conservar las claves antiguas durante 14 días después de la rotación y luego eliminarlas cuando finalice el período de 14 días.

Si actualizas desde una versión anterior a la 2024.10, la rotación automática de certificados está deshabilitada de forma predeterminada. Para habilitar la gestión automática de claves, utiliza el siguiente comando: 

uipathctl config token-signing-certificates automatic-key-management enable
uipathctl config token-signing-certificates automatic-key-management enable
Importante:

Habilitar la rotación automática de certificados puede provocar un tiempo de inactividad de hasta una hora.

La rotación automática de certificados está habilitada de forma predeterminada para las instalaciones limpias de Automation Suite. Para deshabilitar la gestión automática de claves, utiliza el siguiente comando: 

uipathctl config token-signing-certificates automatic-key-management disableuipathctl config token-signing-certificates automatic-key-management disable

Si la función de gestión automática está deshabilitada, los certificados de firma deben actualizarse y rotarse manualmente. Para obtener más información sobre la gestión manual de claves, consulta la documentación sobre la actualización y rotación manual del certificado.

Actualizar manualmente el certificado

Para cargar el nuevo certificado para firmar el token, ejecuta el siguiente comando:

Nota:

El siguiente comando no reemplaza el certificado de firma de token existente.

Asegúrese de que el certificado que proporciona esté en formato .pem .
El archivo server.crt debe contener toda la cadena, como se muestra en el siguiente ejemplo: 
-----server cert-----
-----root ca chain----------server cert-----
-----root ca chain-----
uipathctl config token-signing-certificates update --cert server.crt --key server.keyuipathctl config token-signing-certificates update --cert server.crt --key server.key

Rotar manualmente el certificado

Para rotar o reemplazar el certificado antiguo por el nuevo, ejecuta el siguiente comando:

uipathctl config token-signing-certificates rotateuipathctl config token-signing-certificates rotate

Después de la rotación, reinicia las implementaciones y los conjuntos con estado ejecutando los siguientes comandos:

kubectl -n <uipath> rollout restart deploy
kubectl -n <uipath> rollout restart stskubectl -n <uipath> rollout restart deploy
kubectl -n <uipath> rollout restart sts

Acceder al certificado

Para descargar el certificado de firma de token actual, ejecuta el siguiente comando:

uipathctl config token-signing-certificates getuipathctl config token-signing-certificates get
Nota:

Debe haber un tiempo de espera de aproximadamente 24-48 horas entre la actualización del certificado y la rotación.

Este tiempo de espera es necesario para poder seguir admitiendo la autenticación de tokens en caché firmados por un certificado antiguo.

Girar el certificado demasiado pronto antes de que caduque el token de caché puede provocar un tiempo de inactividad. En este caso, es posible que deba reiniciar todos sus robots.

¿Te ha resultado útil esta página?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Uipath Logo
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2025 UiPath. Todos los derechos reservados.