セキュリティとコンプライアンス

FIPS 140-2 を有効化する

Federal Information Processing Standards 140-2 (FIPS 140-2) は、暗号化モジュールの有効性を検証するセキュリティ標準です。

以下のシナリオでは、Automation Suite をインストールするマシンで FIPS 140-2 を有効化できます。

シナリオ 1: 新規インストール - Automation Suite 2023.4 以降のクリーンインストールを実行する前に、FIPS 140-2 を有効化します。
シナリオ 2: 既存のインストール - FIP 140-2 が無効化されているマシンで Automation Suite のインストールを実行した後、FIPS 140-2 を有効化します。

シナリオ 1: 新規インストール

Automation Suite の新規インストールを実行する予定のマシンで FIPS 140-2 を有効化するには、次の手順を実行します。

Automation Suite のインストールを開始する前に、お使いのマシンで FIPS 140-2 を有効化します。

詳しくは、「FIPS 140-2 を有効化する」を参照してください。
このガイドのインストール手順に従って、Automation Suite のインストールを実行します。
- FIPS 140-2 が有効化されたマシンに AI Center をインストールし、Microsoft SQL Server も使用する場合は、追加の構成が必要です。詳しくは、「AI Center のための SQL の要件」をご覧ください。
- Insights は FIPS 140-2 ではサポートされていないため、無効化されていることを確認してください。
証明書が FIPS 140-2 に対応していることを確認します。
注:
Automation Suite では、既定で FIPS 140-2 対応の自己署名証明書が生成されます。この証明書の有効期限は、選択した Automation Suite インストールの種類によって異なります。

これらの自己署名証明書を、インストール時に CA によって発行された証明書に置き換えることを強くお勧めします。FIPS 140-2 が有効化されたマシンで Automation Suite を使用するには、新たに提供される証明書が FIPS 140-2 に対応している必要があります。RHEL でサポートされる有効な暗号のリストについては、RHEL のドキュメントをご覧ください。
- トークン署名証明書を更新するには、以下を実行します。
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- TLS 証明書を更新するには、以下を実行します。
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs
証明書の詳細については、以下のページをご覧ください。

シナリオ 2: 既存のインストール

FIPS 140-2 が無効化されたマシンに Automation Suite をインストールし、同じマシンでこのセキュリティ標準を有効化することができます。これは、Automation Suite の新しいバージョンにアップグレードする場合にも可能です。

Automation Suite のインストールを既に実行したマシンで FIPS 140-2 を有効化するには、次の手順を実行します。

FIPS 140-2 が無効化されたマシンで、通常の Automation Suite のインストールまたはアップグレード操作を実行します。
すべてのマシンで次のコマンドを実行して、FIPS 140-2 を有効化します。
```
fips-mode-setup --enablefips-mode-setup --enable
```
証明書が FIPS 140-2 に対応していることを確認します。
注:
FIPS 140-2 が有効化されたマシンで Automation Suite を使用するには、証明書を CA によって署名された新しい FIPS 140-2 対応の証明書に置き換える必要があります。RHEL でサポートされる有効な暗号のリストについては、RHEL のドキュメントをご覧ください。
- トークン署名証明書を更新するには、以下を実行します。
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- TLS 証明書を更新するには、以下を実行します。
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs
証明書の詳細については、以下のページをご覧ください。
製品の選択が FIPS 140-2 の要件に沿っていることを確認します。
- FIPS 140-2 が有効化されたマシンに AI Center をインストールし、Microsoft SQL Server も使用する場合は、追加の構成が必要です。詳しくは、「AI Center のための SQL の要件」をご覧ください。
- Insights を以前に有効化した場合は、FIPS 140-2 ではサポートされていないため、無効化する必要があります。インストール後の製品を無効化する方法について詳しくは、「製品を管理する」をご覧ください。
マシンを再起動し、FIPS 140-2 が正常に有効化されたかどうかを確認します。
```
fips-mode-setup --checkfips-mode-setup --check
```

install-uipath.sh サービスインストーラーを再実行します。

オンラインの環境で、以下を実行します。

./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online

オフライン環境で、以下を実行します。

./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement