Orchestrator
2022.10
バナーの背景画像
Orchestrator インストール ガイド
最終更新日 2024年3月4日

インストールの前提条件

こちらに示す Orchestrator のインストールに必要な前提条件とは別に、Identity Server には有効な証明書が必要です。

証明書

Identity Server には、以下の有効な証明書が必要です。

  • HTTPS プロトコルのための証明書
  • Identity Server によって生成されるトークンの署名に使用される証明書

    重要:

    セキュリティ上の理由から、Identity Server で使用する証明書は次の要件を満たしている必要があります。

    • 2048 ビットの公開キーがあること
    • AppPool ユーザーがアクセスできる秘密キーがあること
    • 有効期間内である (失効していない)
    証明書の場所は、Identity Server の構成ファイル appsettings.Production.json署名資格情報セクションに設定します。
    注: 証明書は OpenID アクセス トークンの署名に使用され、このトークンはブラウザー経由のユーザーの識別や、Orchestrator と Identity Server とのサービス間の通信に使用されます。OpenID Connect について詳しくはこちらをご覧ください。

証明書のローテーション

証明書のローテーションを使用し、証明書の期限が切れて暗黙的に Identity Server が停止するリスクを回避できます。証明書のローテーションでは、2 つの証明書を保持して、それらを定期的にローテーションする必要があります。ただし、一度に 1 つの署名キーしか使用できません。

証明書のローテーション プロセスを開始するには、次の手順を実行します。

  1. appsettings.Production.jsonSigningCredentialSettings セクションで StoreLocation パラメーターを使用して、最初の証明書の NameLocation、および NameType を指定します。これは既定の署名キーです。
  2. appsettings.Production.json ファイルの同じセクションで ValidationKeys パラメーターを使用して、2 番目の証明書の NameLocation、および NameType を指定します。ローテーション日の前に、この手順を完了する必要があります。
  3. この段階で、identity/.well-known/openid-configuration/jwks エンドポイントを使用して 2 番目の証明書がパブリッシュされます。これにより、誰もがキャッシュされた探索ドキュメントを更新する時間を確保できます。
  4. ローテーション時刻に証明書を切り替えて、Identity Server を再起動します。これで、新しい証明書を署名に使用できます。前の証明書は必要に応じて、引き続き検証のために使用できます。
  5. 前の証明書は、48 時間後に構成から安全に削除できます。
次の例では、SigningCredential は現在使用されている証明書を参照し、ValidationKeys は新たにパブリッシュされた検証キーを参照しています。
"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }
重要: AI Center を使用している場合は、Identity Server の証明書を更新するたびに再デプロイしてください。
AppSettings.Production.json の暗号化への影響
証明書をローテーションすると、 AppSetting.Production.json データの暗号化に影響する可能性があります。

設定の暗号化の安全性を保ちながら、署名証明書をローテーションするには、次の手順を実行します。

  1. AppSettings.Production.json ファイルを復号します。
  2. AppSettings.Production.json ファイルの署名証明書を更新します。
  3. AppSettings.Production.json ファイルを再暗号化します。
  4. Identity Server を再起動します。
  • 証明書
  • 証明書のローテーション

Was this page helpful?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.