Guide d'installation d'Orchestrator

Demande d’un certificat SAN SSL auprès de l’Autorité de certification​

1. Appuyez sur les touches Windows et R, tapez certlm.msc, et cliquez sur OK pour ouvrir l'instantané Certificats (Certificates).

2. Cliquez à droite sur le nœud Personnel , sélectionnez Toutes les tâches, puis Opérations avancées, et Créer une demande personnalisée. Cliquez Suivant dans la fenêtre Avant de commencer.

   Figure 1. Créer une demande personnalisée

   

3. Dans la fenêtre Sélectionnez la politique d'inscription aux certificats, choisissez La politique d’inscription Active Directoryet cliquez sur Suivant.

4. Dans la fenêtre Demande personnalisée, choisissez un modèle de certificat désigné pour l’utilisation du serveur Web. Il doit être appelé Web Server ou Web.SAN. Si aucun modèle n’est défini, choisissez (Pas de modèle) Legacy Key . Ensuite, sélectionnez PKCS #10 comme format de votre demande.

   Figure 2. Fenêtre de demande personnalisée

   

5. Dans la fenêtre Informations certificat, cliquez sur le bouton Details correspondant à votre demande, puis sélectionnez Propriétés pour ouvrir la fenêtre Propriétés certificat et personnalisez la demande de certificat.

   Figure 3. Informations sur le certificat

   

6. Personnalisez les informations dans l'onglet Objet tel que décrit ci-dessous :

   1. Dans la section Nom de l'objet , allez sur Type, et sélectionnez Nom commun dans le menu déroulant. Dans le champ Valeur , saisissez le nom de domaine complet (FQDN) de la machine, par exemple monhôte.domaine.local. Cliquez ensuite sur Ajouter.

   2. Dans la section Nom alternatif , allez sur Type et sélectionnez DNS dans le menu déroulant. Dans le champ Valeur , saisissez le Nom de domaine complet de la machine. Cliquez ensuite sur Ajouter.

   3. Si Orchestrator est installé sur plusieurs nœuds, vous devez ajouter tous ces noms de domaine complets, comme décrit à l'étape 6.2. Ajoutez également le nom de domaine complet de l'équilibreur de charge.

      Figure 4. Onglet Objet

      

7. Personnalisez les informations dans l'onglet Clé privée tel que décrit ci-dessous :

   1. Dans la case Cryptography Service Provider , allez sur Sélectionner Cryptography Service Provider (CSP) et vérifiez Microsoft RSA SChannel cryptography Provider (Chiffrement).

   Figure 5. Clé privée

   

   2. Dans la section Options de clé , assurez-vous que Taille de clé est fixé sur au moins 2048 et que Rendre la clé privée exportable est coché.

   Image 6. Taille de la clé

   

   3. Dans la section Type de clé (Key type), assurez-vous que Utilisation des clés (Key usage) est fixé sur Échange (Exchange).

   Figure 7. Type de clé

   

8. Cliquez sur OK dans la fenêtre de configuration et sur Suivant sur l'écranInformation Certificat.

9. Sur l'écran Où souhaitez-vous enregistrer votre demande hors ligne, indiquer un chemin d'accès et un nom de fichier de votre choix, par exemple C:\Users\YourUser\Documents\sslRequest.req, et sélectionnez Base 64 comme format de fichier.

   Figure 8. Nom et format du fichier

   

10. Une fois que l’Autorité des certificats a accepté la demande d’inscription, le certificat est visible dans le magasin personnel.

    Important :

    Si l’entreprise dispose d’une procédure/modèle standard pour l’obtention du certificat, l’utilisateur doit se référer à cette procédure.

    Pour d’autres environnements (par exemple, sans politique d’inscription automatique), vous pouvez toujours utiliser ce document comme référence pour les paramètres du certificat.

Création d’un certificat SAN SSL auto-signé​

Création d’un certificat SSL auto-signé sur la Primary Orchestrator Machine​

$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass
$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass

• Si ApplicationPoolIdentity est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez toutes les autorisations à IIS AppPool\Identity et IIS_IUSRS.
• Si un compte personnalisé est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez des autorisations complètes à l’utilisateur personnalisé défini sur le pool d’applications Orchestrator.

Importation du certificat auto-signé SAN vers d’autres Machines​

$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)

Firefox : autorisation des exceptions​

1. Cliquez sur le bouton Ajouter une exception. La fenêtre Ajouter une exception de sécurité s'affiche.

   Figure 9. Ajouter des exceptions

   

2. Dans la fenêtre Ajout d'une exception de sécurité, cliquez sur Confirmer l'exception de sécurité pour configurer localement cette exception.

   Image 10. Ajouter des exceptions de sécurité

   

   Remarque :

   Si un site spécifique redirige vers les sous-domaines, il est possible que vous receviez plusieurs invites d'avertissement relatives à la sécurité, avec à chaque fois, des URL sensiblement différentes. Ajoutez des exceptions pour ces URL en suivant la procédure ci-dessus.

Certificats de résolution des problèmes​

1. Ouvrez Gérer les certificats d’ordinateur -> Personnel -> Certificats ->. Identifiez votre certificat et double-cliquez dessus. L’onglet Général doit comprendre des informations sur sa validité.
2. À partir d’une ligne de commande, exécutez la commande suivante pour diagnostiquer le certificat : certutil -v -verifystore My <certificateThumbprint> – son résumé se trouve à la fin de la sortie.

Erreur interne du serveur​

import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl
import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl

• Si ApplicationPoolIdentity est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez toutes les autorisations à IIS AppPool\Identity et IIS_IUSRS.
• Si un compte personnalisé est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez des autorisations complètes à l’utilisateur personnalisé défini sur le pool d’applications Orchestrator.

Erreur du certificat Insights​

Erreur de certificat des navigateurs basés sur Chromium​

1. Ouvrez une console PowerShell en tant qu'administrateur, et lancez les commandes suivantes. N'oubliez pas de personnaliser les valeurs en fonction de votre environnement.
   assignment

   $cert = New-SelfSignedCertificate -FriendlyName "MyServerSSL" -DnsName “example01” -CertStoreLocation "cert:\LocalMachine\My" -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment -KeyAlgorithm RSA -HashAlgorithm SHA256 -KeyLength 2048 -KeyUsageProperty All -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter (Get-Date).AddYears(5)
   $pwd = 'p@ssw0rd'
   $SSpwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText
   Export-PfxCertificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_cert.pfx -Password $SSpwd
   Export-Certificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_public.cer
   $cert = New-SelfSignedCertificate -FriendlyName "MyServerSSL" -DnsName “example01” -CertStoreLocation "cert:\LocalMachine\My" -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment -KeyAlgorithm RSA -HashAlgorithm SHA256 -KeyLength 2048 -KeyUsageProperty All -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter (Get-Date).AddYears(5)
   $pwd = 'p@ssw0rd'
   $SSpwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText
   Export-PfxCertificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_cert.pfx -Password $SSpwd
   Export-Certificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_public.cer
   

   Remarque :

   Les commandes exportent également le fichier .pfx pour une utilisation ultérieure.

2. Une fois le certificat créé, vous devez également prendre en compte les scénarios suivants :
   • Si ApplicationPoolIdentity est utilisé :
     • Dans la console de certificats, accédez à Personnel, puis à Certificats.
     • Cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches, puis Gérer les clés privées.
     • Accorde des autorisations complètes à IIS AppPool\Identity et à IIS_IUSRS.
   • Si un compte personnalisé est utilisé :
     • Dans la console de certificats, accédez à Personnel, puis à Certificats.
     • Cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches, puis Gérer les clés privées.
     • Accordez des autorisations complètes à l’utilisateur personnalisé qui a été défini sur le pool d’applications Orchestrator.
       Remarque :

       IIS AppPool\Identity et IIS_IUSRS sont des groupes locaux et doivent être recherchés non dans le domaine, mais dans la machine locale.