orchestrator
2020.10
false
- Primeros pasos
- Requisitos
- Mejores prácticas
- Instalación
- Actualizando
- Servidor de identidad
- Complemento de alta disponibilidad
Importante :
Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática.
Sin asistencia
Guía de instalación de Orchestrator
Last updated 12 de dic. de 2023
Requisitos previos para la instalación
Además de los requisitos previos aquí enumerados para la instalación de Orchestrator, Identity Server necesita lo siguiente:
Identity Server requiere 2 certificados válidos:
- Un certificado para el protocolo HTTPS.
-
Un certificado utilizado para firmar los tokens generados por Identity Server.
Importante:Por motivos de seguridad, el certificado utilizado por Identity Server debe:
- tener una clave pública en 2048 bits
- tener una clave privada accesible por el usuario de AppPool,
- estar en su periodo de validez (no haber caducado).
La ubicación del certificado está establecida en el archivo de configuración de Identityappsettings.Production.jsonServer, en la sección Credencial de firma.Nota: el certificado se utiliza para firmar tokens de acceso de OpenID que se utilizan para la identificación del usuario a través del navegador y para la comunicación de servicio a servicio entre Orchestrator e Identity Server. Haz clic aquí para obtener más información sobre OpenID Connect.
Puedes emplear la rotación de certificados para evitar el riesgo de vencimiento de los certificados y, por tanto, que Identity Server deje de funcionar. Este método implica mantener dos certificados y rotarlos periódicamente. Sin embargo, ten en cuenta que solo puedes utilizar una clave de firma cada vez.
Para iniciar el proceso de rotación de certificados, sigue los siguientes pasos:
- Especifica el del c
Nameertificado iLocationnicial,, y conNameTypeel parSigningCredentialámetro en la sección Signappsettings.Production.jsoningCredential de. Ten en cuenta que la primera clave de firma que registres es la predeterminada. - Especifica el
Namedel segundo certificado,Location, yNameTypeutilizando el parámetroValidationKeysen la misma sección del archivoappsettings.Production.json. Asegúrate de completar este paso antes de la fecha de rotación. - En esta etapa, el segundo certificado se publica utilizando el punto
identity/.well-known/openid-configuration/jwksfinal. Esto garantiza que todos tengan tiempo suficiente para actualizar su documento de descubrimiento en caché. - En el momento de la rotación, cambia los certificados y reinicia Identity Server. El nuevo certificado se puede utilizar para firmar, mientras que el anterior sigue disponible para fines de validación siempre que lo necesites.
- El certificado anterior se puede eliminar de forma segura de la configuración después de 48 horas.
En el siguiente ejemplo,
SigningCredential hace referencia al certificado utilizado actualmente, mientras que ValidationKeys hace referencia a la clave de validación recientemente publicada.
"SigningCredentialSettings": {
"StoreLocation": {
"SigningCredential": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
},
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}"SigningCredentialSettings": {
"StoreLocation": {
"SigningCredential": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
},
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}Importante: Si utilizas AI Center, asegúrate de volver a implementarlo cada vez que actualices el certificado de Identity Server.
