- Orchestrator モバイル アプリ
iOS - ルート証明機関
iOS モバイル デバイスの Orchestrator アプリを使用して Orchestrator インスタンスに接続する間に、SSL または ATS 証明書の問題が発生する可能性があります。
以下の手順を実行し、iOS モバイル デバイスに直接ルート SSL 証明書をインストールして信頼することにより、この問題を解決できます。
証明書の問題を解決するには、まず iOS モバイル デバイスに Orchestrator インスタンスのルート証明機関が表示されていることを確認します。これにより、iOS モバイル デバイスで証明書を正しく識別してインポートすることができます。
Orchestrator のインストールをホストするマシンで、以下の手順を実行します。
- インターネット インフォメーション サービス (IIS) マネージャーを開きます。
- [サイト] > [UiPath Orchestrator] に移動します。
- 右側にある [操作] パネルで、[バインド] をクリックします。[サイト バインド] ウィンドウが開きます。
- Orchestrator インスタンスのバインド URL を選択し、[編集...] をクリックします。[サイト バインドの編集] ウィンドウが開きます。
- [SSL 証明書] フィールドに、Orchestrator 証明書の名前が表示されます。詳細については、[表示...] をクリックします。
-
[詳細] タブに切り替えます。[発行者] フィールドと [サブジェクト] フィールドを検索します。以下の 2 つのケースがあります。
- [発行者] と [サブジェクト] の値が同じ: 手順 5 で選択した SSL 証明書がルート証明書です。以下に記載されているように、ルート証明機関をエクスポートして続けます。
-
[発行者] と [サブジェクト] の値が異なる: 手順 5 で選択した SSL 証明書はルート証明書ではありません。この場合は、以下の手順を実行して続けます。
- [ファイル名を指定して実行] コマンド ウィンドウを開いて
certmgr.msc
と入力し、[OK] をクリックします。 - [信頼されたルート証明機関] > [証明書] に移動します。前の手順 (手順 6) の [発行者] に一致する証明書を検索します。
- ダブルクリックして [証明書] ウィンドウを開きます。
-
[詳細] タブに切り替えます。プロパティ リストで [基本制限] を選択します。以下の 2 つのケースがあります。
- 下部のパネルに
Subject Type=CA
が表示されるルート証明機関が正しく構成されています。「ルート証明機関をエクスポートする」セクションに進みます。 - 下部のパネルに
Subject Type=CA
が表示されない: ルート証明機関を含む新しい証明書を作成します (下記を参照)。作成した証明書は証明書ストアにインポートし (下記を参照)、Orchestrator インスタンスに設定します (下記を参照)。
- 下部のパネルに
-TextExtension @("2.5.29.19={text}cA=true)
をスクリプトに含めることが重要です。
サンプル スクリプト
$rootcert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname ROOT-CA-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -KeyUsage CertSign, CRLSign, DigitalSignature -KeyExportPolicy Exportable -TextExtension @("2.5.29.19={text}cA=true")
$rootpwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText
$rootpath = ‘cert:\localMachine\my\’ + $rootcert.thumbprint
$rootCA = Export-PfxCertificate -cert $rootpath -FilePath c:\Users\uipath\Desktop\root-cert.pfx -Password $rootpwd
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname DNS-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -Signer $rootcert
$pwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText
$path = ‘cert:\localMachine\my\’ + $cert.thumbprint
Export-PfxCertificate -cert $path -FilePath c:\Users\uipath\Desktop\signed-cert.pfx -Password $pwd
$rootcert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname ROOT-CA-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -KeyUsage CertSign, CRLSign, DigitalSignature -KeyExportPolicy Exportable -TextExtension @("2.5.29.19={text}cA=true")
$rootpwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText
$rootpath = ‘cert:\localMachine\my\’ + $rootcert.thumbprint
$rootCA = Export-PfxCertificate -cert $rootpath -FilePath c:\Users\uipath\Desktop\root-cert.pfx -Password $rootpwd
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname DNS-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -Signer $rootcert
$pwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText
$path = ‘cert:\localMachine\my\’ + $cert.thumbprint
Export-PfxCertificate -cert $path -FilePath c:\Users\uipath\Desktop\signed-cert.pfx -Password $pwd
別の証明書に署名するルート証明機関を作成する場合は、以下のスクリプト テンプレートを使用します。
$rootcert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname ROOT-CA-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -KeyUsage CertSign, CRLSign, DigitalSignature -KeyExportPolicy Exportable -TextExtension @("2.5.29.19={text}cA=true") $rootpwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText $rootpath = ‘cert:\localMachine\my\’ + $rootcert.thumbprint $rootCA = Export-PfxCertificate -cert $rootpath -FilePath c:\Users\uipath\Desktop\root-cert.pfx -Password $rootpwd $cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname DNS-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -Signer $rootcert $pwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText $path = ‘cert:\localMachine\my\’ + $cert.thumbprint Export-PfxCertificate -cert $path -FilePath c:\Users\uipath\Desktop\signed-cert.pfx -Password $pwd
$rootcert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname ROOT-CA-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -KeyUsage CertSign, CRLSign, DigitalSignature -KeyExportPolicy Exportable -TextExtension @("2.5.29.19={text}cA=true") $rootpwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText $rootpath = ‘cert:\localMachine\my\’ + $rootcert.thumbprint $rootCA = Export-PfxCertificate -cert $rootpath -FilePath c:\Users\uipath\Desktop\root-cert.pfx -Password $rootpwd $cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname DNS-NAME-HERE -KeySpec KeyExchange -HashAlgorithm "SHA256" -Signer $rootcert $pwd = ConvertTo-SecureString -String ‘PUT-PASSWORD-HERE’ -Force -AsPlainText $path = ‘cert:\localMachine\my\’ + $cert.thumbprint Export-PfxCertificate -cert $path -FilePath c:\Users\uipath\Desktop\signed-cert.pfx -Password $pwd
- PowerShell スクリプトで作成された
.PFX
ファイルをダブルクリックします。[証明書のインポート ウィザード] が開きます。 - [ローカル マシン] を選択して、[次へ] をクリックします。
- ウィザードの [証明書ストア] ページで [証明書をすべて次のストアに配置する] を選択します。さらに、[証明書ストア] を [個人] に設定し、[次へ] をクリックします。
- インポートを [完了] します。
- 上記の手順を繰り返します。ただし今度は、手順 3 の [証明書ストア] の値を [信頼されたルート証明機関] に設定します。
新しい証明書を両方の証明書ストアにインポートした後、Orchestrator インスタンスに設定します。
- インターネット インフォメーション サービス (IIS) マネージャーを開きます。
- [サイト] > [UiPath Orchestrator] に移動します。
- 右側にある [操作] パネルで、[バインド] をクリックします。[サイト バインド] ウィンドウが開きます。
- 各サイト バインドについて、[編集...] をクリックします。[サイト バインドの編集] ウィンドウが開きます。
-
[SSL 証明書] フィールドで新しい証明書を選択し、[OK] をクリックします。
重要: すべてのサイト バインドの証明書を確実に更新してください。 - すべてのバインドを更新した後、[操作] パネルで [再起動] をクリックします。
証明書が正しく構成されている場合は、iOS モバイル デバイスで認識される形式にエクスポートする必要があります。
- [ファイル名を指定して実行] コマンド ウィンドウを開いて
certmgr.msc
と入力し、[OK] をクリックします。 - [信頼されたルート証明機関] > [証明書] に移動し、Orchestrator の証明書を検索します。
- 証明書を右クリックし、[すべてのタスク] > [エクスポート...] を選択します。[証明書のエクスポート ウィザード] が開きます。
- エクスポート形式として [DER encoded binary X.509 (.CER)] を選択します。
- エクスポートを完了します。
.CER
ファイルは、iOS モバイル デバイスに送信できます。受信したファイルをタップすると、証明書のダウンロードが開始されます。以下のメッセージが表示されます。
- [設定] > [一般] > [プロファイル] に移動します。[ダウンロード済みプロファイル] の下に証明書が表示されます。
- 証明書をクリックし、[インストール] します。証明書が検証されます。
- [完了] をクリックし、[一般] ページに戻ります。
- [情報] > [証明書信頼設定] に移動します。新たにインストールされた証明書が、[ルート証明書を全面的に信頼する] の下に表示されます。証明書が表示されない場合は、証明書のプロパティ [基本制限] に
Subject Type=CA
と指定されていることを確認してください。 - 証明書のトグルがオフの場合は、オンに設定します。