Utilisation d'un certificat pour le protocole HTTPS

Demande d’un certificat SAN SSL auprès de l’Autorité de certification

Cette section fournit une explication sur la façon d’activer le protocole HTTP pour la communication entre Orchestrator et les Robots.

Il est préférable d'utiliser un certificat SAN SSL soumis à une autorité de certification plutôt qu'un certificat auto-signé car aucun certificat ne doit être installé sur les ordinateurs Robot dans le premier cas. Le certificat SAN SLL émis par l'autorité de certification est approuvé par tous les ordinateurs du domaine.

Si la machine Orchestrator principale est enregistrée dans un Active Directory qui possède une Autorité de certification locale et une politique d'auto-inscription, l'utilisateur peut remplir une demande de certificat, comme décrit dans la procédure suivante.

Appuyez sur les touches Windows et R, tapez certlm.msc, et cliquez sur OK pour ouvrir l'instantané Certificats (Certificates).
Cliquez à droite sur le nœud Personnel , sélectionnez Toutes les tâches, puis Opérations avancées, et Créer une demande personnalisée. Cliquez Suivant dans la fenêtre Avant de commencer.
Dans la fenêtre Sélectionnez la politique d'inscription aux certificats, choisissez La politique d’inscription Active Directoryet cliquez sur Suivant.
Dans la fenêtre Demande personnalisée, choisissez un modèle de certificat désigné pour l’utilisation du serveur Web. Il doit être appelé Web Server ou Web.SAN. Si aucun modèle n’est défini, choisissez (Pas de modèle) Legacy Key . Ensuite, sélectionnez PKCS #10 comme format de votre demande.
Dans la fenêtre Informations certificat, cliquez sur le bouton Details correspondant à votre demande, puis sélectionnez Propriétés pour ouvrir la fenêtre Propriétés certificat et personnalisez la demande de certificat.
Personnalisez les informations dans l'onglet Objet tel que décrit ci-dessous :

6.1. Dans la section Nom de l'objet, allez sur Type, et sélectionnez Nom commun dans le menu drop-down. Dans le champ Valeur, tapez le nom du domaine entièrement qualifié (FQDN) de la machine, par exemple myhost.domain.local. Cliquez ensuite sur Ajouter.

6.2. Dans la section Nom alternatif, allez sur Type et sélectionnez DNS dans le menu drop-down. Dans le champ Valeur, tapez le FQDN de la machine (le même qu’à l’étape 6.1.). Cliquez ensuite sur Ajouter.

6.3. Si Orchestrator est installé sur plusieurs nœuds, vous devez ajouter tous ces FQDNs, comme cela est décrit à l’étape 6.2. Ajoutez également le FQDN du répartiteur de charge.
Personnalisez les informations dans l'onglet Clé privée tel que décrit ci-dessous :

7.1. Dans la case Cryptographic Service Provider allez sur Sélectionner Cryptographic Service Provider (CSP)et vérifiez Microsoft RSA SChannel cryptographic Provider (Encryption).

7.2. Dans la section Options de clé (Key options), assurez-vous que Taille de clé (Key Size) est fixé sur au moins 2048 et que Rendre la clé privée exportable (Make private key exportable) est coché.

7.3. Dans la section Type de clé (Key type), assurez-vous que Utilisation des clés (Key usage) est fixé sur Échange (Exchange).
Cliquez sur OK dans la fenêtre de configuration et sur Suivant sur l'écranInformation Certificat.
Sur l'écran Où souhaitez-vous enregistrer votre demande hors ligne ?, indiquez un chemin d'accès et un nom de fichier de votre choix, par exemple C:\Users\YourUser\Documents\sslRequest.req et sélectionnez Base 64 comme format de fichier.
Une fois que l’Autorité des certificats a accepté la demande d’inscription, le certificat est visible dans le magasin personnel.

Important :
Si l’entreprise dispose d’une procédure/modèle standard pour l’obtention du certificat, l’utilisateur doit se référer à cette procédure.

Pour d’autres environnements (par exemple, sans politique d’inscription automatique), vous pouvez toujours utiliser ce document comme référence pour les paramètres du certificat.

Création d’un certificat SAN SSL auto-signé

Si vous devez créer rapidement un certificat SSL à des fins de test seulement, vous pouvez créer un certificat SAN SSL auto-signé.

Attention : Si votre machine Orchestrator exécute Windows Server 2012 R2, une solution de contournement est nécessaire pour créer un certificat SSL SAN auto-signé. Reportez-vous à Création d'un certificat SSL SAN auto-signé sur une machine Orchestrator Windows Server 2012 R2 pour plus de détails.

Création d’un certificat SSL auto-signé sur la Primary Orchestrator Machine

Ouvrez une console PowerShell en tant qu'administrateur, et lancez les commandes suivantes. N'oubliez pas de personnaliser les valeurs en fonction de votre environnement.

$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass

Les commandes ci-dessus exportent également le fichier C:\temp\testingCertificate.pfx pour une utilisation ultérieure.

Une fois le certificat créé, procédez aux actions suivantes :

Si ApplicationPoolIdentity est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez toutes les autorisations à IIS AppPool\Identity et IIS_IUSRS.
Si un compte personnalisé est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez des autorisations complètes à l’utilisateur personnalisé défini sur le pool d’applications Orchestrator.

Remarque :

IIS AppPool\Identity et IIS_IUSRS sont des groupes locaux et doivent être recherchés non dans le domaine, mais dans la machine locale.

Importation du certificat auto-signé SAN vers d’autres Machines

Afin de rendre le certificat auto-signé disponible sur d’autres machines (nœuds Orchestrator secondaires / machines Robot), ouvrez une console PowerShell en tant qu’administrateur et lancez les commandes suivantes.

$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)

Firefox : autorisation des exceptions

Firefox gère le processus un peu différemment, car il ne lit pas les informations de certificats dans le magasin Windows. Au lieu d'installer les certificats, il permet de définir des exceptions pour les certificats SSL sur des sites spécifiques.

Lorsque vous visitez un site Web contenant une erreur de certificat, le message d'avertissement présenté dans la capture d'écran ci-dessous s'affiche. L'URL à laquelle vous tentez d'accéder s'affiche dans la zone bleue. Procédez comme suit pour créer une exception afin de contourner cet avertissement pour cette URL spécifique :

Cliquez sur le bouton Ajouter une exception. La fenêtre Ajouter une exception de sécurité s'affiche.
Dans la fenêtre Ajout d'une exception de sécurité, cliquez sur Confirmer l'exception de sécurité pour configurer localement cette exception.

Remarque : si un site particulier redirige vers des sous-domaines en son sein, vous pouvez recevoir plusieurs invites d’avertissement de sécurité avec des URL légèrement différentes à chaque fois. Ajoutez des exceptions pour ces URL en suivant les étapes ci-dessus.

Certificats de résolution des problèmes

Si vous rencontrez des problèmes avec l’utilisation d’un certificat avec UiPathOrchestrator.msi (lors de l’installation ou de la mise à niveau), voici où vous pouvez commencer votre dépannage :

Du panneau de configuration :

Ouvrez Gérer les certificats d’ordinateur -> Personnel -> Certificats ->. Identifiez votre certificat et double-cliquez dessus. L’onglet Général doit comprendre des informations sur sa validité.
À partir d’une ligne de commande, exécutez la commande suivante pour diagnostiquer le certificat : certutil -v -verifystore My <certificateThumbprint> – son résumé se trouve à la fin de la sortie.

Remarque : L'empreinte de votre certificat se trouve dans l'onglet Détails décrit à l'étape 1.

Erreur interne du serveur

Une erreur interne du serveur peut se produire si le certificat ne dispose pas des autorisations appropriées. Exécutez ce qui suit en tant qu’administrateur pour accorder les autorisations nécessaires :

import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $aclimport-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl

Après avoir exécuté le script, procédez aux actions suivantes :

Si ApplicationPoolIdentity est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez toutes les autorisations à IIS AppPool\Identity et IIS_IUSRS.
Si un compte personnalisé est utilisé, dans la console de certificat, accédez à Personnel > Certificats. Ensuite, cliquez droit sur votre certificat Orchestrator personnel, sélectionnez Toutes les tâches > Gérer les clés privées et accordez des autorisations complètes à l’utilisateur personnalisé défini sur le pool d’applications Orchestrator.

Remarque :

IIS AppPool\Identity et IIS_IUSRS sont des groupes locaux et doivent être recherchés non dans le domaine, mais dans la machine locale.

Erreur du certificat Insights

Si vous rencontrez des erreurs lorsque vous essayez de modifier votre certificat Insights, assurez-vous de suivre les instructions fournies dans Mise à jour du certificat Insights (Updating the Insights Certificate).

Création d'un certificat SSL SAN auto-signé sur une machine Orchestrator Windows Server 2012 R2

Windows Server 2012 R2 ne prend pas en charge le paramètre -FriendlyName. Si votre machine Orchestrator exécute ce système d'exploitation, vous devez suivre les étapes suivantes pour créer un certificat SSL SAN auto-signé :

Créez le certificat sur une machine exécutant un système d'exploitation plus récent que Windows Server 2012 R2, comme décrit dans la section Création d'un certificat SSL auto-signé sur la machine Orchestrator principale.
Importez le certificat SSL SAN auto-signé sur la machine Windows Server 2012 R2 comme décrit dans la section Importation du certificat SAN auto-signé vers d'autres machines.

Assurez-vous d'ajouter le certificat aux magasins Autorités de certification racine approuvées (Trusted Root Certification Authorities) et Personnel (Personal).
Appuyez sur les touches Windows et R, tapez certlm.msc, et cliquez sur OK pour ouvrir l'instantané Certificats (Certificates).
Pour autoriser les autorisations de lecture sur la clé privée, procédez comme suit :
Si vous utilisez ApplicationPoolIdentity, accédez au magasin Personnel (Personal) > Toutes les tâches (All Tasks) > Gérer les clés privées (Manage Private Keys) et accordez l'autorisation de lecture à l'utilisateur IIS AppPool\UiPath Orchestrator.
Si vous utilisez un compte personnalisé, accédez au magasin Personnel > Toutes les tâches (All Tasks) > Gérer les clés privées (Manage Private Keys) et accordez des autorisations de lecture à l'utilisateur personnalisé défini sur le pool d'applications Orchestrator.