通知を受け取る

UiPath 製品のインストールとアップグレード

UiPath 製品のインストールとアップグレード ガイド

インストールの前提条件

Apart from the prerequisites listed here for Orchestrator installation, Identity Server needs valid certificates.

証明書

Identity Server には、以下の有効な証明書が必要です。

🚧

重要

セキュリティ上の理由から、Identity Server で使用する証明書は次の要件を満たしている必要があります。
2048 ビットの公開キーがあること
AppPool ユーザーがアクセスできる秘密キーがあること
有効期間内である (失効していない)

証明書の場所は、Identity Server の構成ファイル appsettings.Production.json署名資格情報セクションに設定します。

自己署名証明書を使用する場合、(通常の個人用ストアに加え) 信頼されたルート証明機関の証明書ストアにも配置しておく必要があります。

証明書は OpenID アクセス トークンの署名に使用され、このトークンはブラウザー経由のユーザーの識別や、Orchestrator と Identity Server とのサービス間の通信に使用されます。 OpenID Connect について詳しくはこちらをご覧ください。

証明書のローテーション

証明書のローテーションを使用し、証明書の期限が切れて暗黙的に Identity Server が停止するリスクを回避できます。証明書のローテーションでは、2 つの証明書を保持して、それらを定期的にローテーションする必要があります。ただし、一度に 1 つの署名キーしか使用できません。

証明書のローテーション プロセスを開始するには、次の手順を実行します。

  1. appsettings.Production.jsonSigningCredentialSettings セクションで StoreLocation パラメーターを使用して、最初の証明書の NameLocation、および NameType を指定します。これは既定の署名キーです。
  2. appsettings.Production.json ファイルの同じセクションで ValidationKeys パラメーターを使用して、2 番目の証明書の NameLocation、および NameType を指定します。ローテーション日の前に、この手順を完了する必要があります。
  3. この段階で、identity/.well-known/openid-configuration/jwks エンドポイントを使用して 2 番目の証明書がパブリッシュされます。これにより、誰もがキャッシュされた探索ドキュメントを更新する時間を確保できます。
  4. ローテーション時刻に証明書を切り替えて、Identity Server を再起動します。これで、新しい証明書を署名に使用できます。前の証明書は必要に応じて、引き続き検証のために使用できます。
  5. You can safely remove the previous certificate from the configuration after 48 hours.

In the following example, SigningCredential references the currently used certificate, whereas ValidationKeys references the newly published validation key.

"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }

🚧

重要

AI Center を使用している場合は、Identity Server の証明書を更新するたびに再デプロイしてください。

約 1 か月前に更新



インストールの前提条件


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。