UiPath Documentation
orchestrator
2023.10
false
Important :
La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.

Guide d'installation d'Orchestrator

Prérequis à l'installation

Outre les conditions préalables énumérées ici pour l’installation d’Orchestrator, l'Identity Server requiert des certificats valides.

Certificats

Identity Server requiert les certificats valides suivants :

  • Un certificat pour le protocole HTTPS.
  • Certificat utilisé pour signer les jetons générés par le serveur d’identité. Ce certificat est utilisé pour signer les jetons d’accès OpenID qui sont utilisés pour l’identification de l’utilisateur via le navigateur et pour la communication de service à service entre Orchestrator et l’Identity Server. Cliquez ici pour plus de détails sur OpenID Connect.
    Important :

    Vous pouvez utiliser une longueur de clé maximale de 4096 bits pour la signature des certificats. Comme meilleure pratique, nous vous recommandons fortement d'utiliser une longueur de clé d'au moins 512 bits (64 octets).

    Important :

    Pour des raisons de sécurité, le certificat utilisé par le serveur d’identité doit :

    • avoir une clé publique 2048 bits
    • dispose d'une clé privée accessible par l'utilisateur d'AppPool,
    • être dans sa période de validité (non expiré). L’emplacement du certificat se définit dans le fichier de configuration appsettings.Production.jsondu serveur d’identité, dans la section Signature des informations d’identification.

Rotation des certificats

Vous pouvez utiliser la rotation des certificats pour éviter le risque d’expiration du certificat et, implicitement, une panne de l'Identity Server. Cette méthode implique de maintenir deux certificats et de procéder à leur rotation périodique. Notez toutefois que vous ne pouvez utiliser qu’une seule clé de signature à la fois.

Pour lancer le processus de rotation des certificats, procédez comme il suit :

  1. Indiquez les paramètres Name, Location et NameType du certificat initial en utilisant le paramètre StoreLocation dans la section SigningCredentialSettings de appsettings.Production.json. Notez qu'il s'agit de la clé de signature par défaut.
  2. Spécifiez le Name du deuxième certificat, Location et NameType en utilisant le paramètre ValidationKeys dans la même section du fichier appsettings.Production.json. Assurez-vous de terminer cette étape avant la date de rotation.
  3. À ce stade, le deuxième certificat est publié à l’aide du point de terminaison identity/.well-known/openid-configuration/jwks. Cela permet à chacun d'avoir suffisamment de temps pour mettre à jour son document de découverte mis en cache.
  4. Au moment de la rotation, changez les certificats et redémarrez Identity Server. Le nouveau certificat peut maintenant être utilisé pour la signature alors que le certificat précédent continue d’être disponible à des fins de validation aussi longtemps que vous en aurez besoin.
  5. Le certificat précédent peut être supprimé en toute sécurité de la configuration après 48 heures.

Dans l’exemple suivant, SigningCredential fait référence au certificat actuellement utilisé alors que ValidationKeys fait référence à la clé de validation nouvellement publiée.

"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }
"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }
Important :

Si vous utilisez AI Center, assurez-vous de le redéployer chaque fois que vous mettez à jour le certificat Identity Server.

Impact sur le chiffrement AppSettings.Production.json

La rotation des certificats peut avoir un impact sur le chiffrement des données AppSetting.Production.json .

Pour effectuer une rotation des certificats de signature tout en garantissant la sécurité du chiffrement des paramètres, procédez comme suit :

  1. Décrypte le fichier AppSettings.Production.json.
  2. Mettez à jour le certificat de signature dans le fichier AppSettings.Production.json .
  3. Crypte le fichier AppSettings.Production.json.
  4. Redémarrez le serveur d'identité.
  • Certificats
  • Rotation des certificats

Cette page vous a-t-elle été utile ?

Connecter

Besoin d'aide ? Assistance

Vous souhaitez apprendre ? UiPath Academy

Vous avez des questions ? UiPath Forum

Rester à jour