パッケージの署名検証を設定する

パッケージの署名とは、パッケージのソースが信頼できるものであることを検証するために NuGet パッケージによって使用されるツールです。この検証は証明書を使用して行われます。証明書を使用することで、パッケージを発行または作成したエンティティの ID を確認できます。

証明書の確認を有効化すると、使用されているパッケージが承認された作成者または許可されたリポジトリからのものであるかが UiPath によって検証されます。信頼できるパッケージのみが使用されるように徹底することで、デプロイのセキュリティが強化されます。

検証モード

検証モードパラメーター signatureValidationMode の値によって、インストールできるパッケージの種類が決まります。

accept を使用すると、署名済みのパッケージと署名のないパッケージの両方をインストールできます。
require を使用すると、署名の詳細が NuGet.config ファイルの <trustedSigners> セクションの署名の詳細と一致する必要がある場合にのみ、パッケージをインストールできます。

署名の検証の手動設定

v2021.2 より前の Robot では、インストール中に、NuGet.config ファイルに以下の特定の設定が自動的に入力されていました。

accept に設定された signatureValidationMode
信頼できる署名者として UiPath® が追加される

v2021.2 以降の Robot では、設定を意識的に選択することが推奨されているため、これらの設定は自動的には入力されません。引き続きパッケージの署名機能を使用するには、NuGet.config ファイルを手動で編集して signatureValidationMode パラメーターを追加し、UiPath を信頼できるソースとして追加する必要があります。

重要:

NuGet.org フィードを使用する場合、このフィードを accept と require の両方の検証モードに追加します。NuGet はリポジトリ全体を署名済みとしてアナウンスするためです。
パッケージの署名の検証を使用しない場合は、必ず NuGet.config ファイルから <trustedSigners> タグを削除してください。

パッケージの署名を有効化する

パッケージの署名は、コマンドラインでのインストール時、またはインストール後に、NuGet.config ファイルを編集することで設定できます。

コマンドラインでのインストール時: install コマンドに ENFORCE_SIGNED_EXECUTION=1 引数を追加します。
インストール後: Nuget.config ファイルに signatureValidationMode パラメーターを追加し、require に設定します。
注:
- NuGet.config ファイルは %ProgramFiles%\UiPath\Studio フォルダーに格納されます。
- NuGet.config ファイルの変更を反映するには、次の手順を実行します。
  1. Robot サービスを再起動する。
  2. 既存のすべての NuGet パッケージを %ProgramFiles%\UiPath\Studio\Packages と %userprofile%\.nuget\packages から削除します。
  3. Studio と Assistant を再起動します。

信頼できるソースを追加する

特定の証明書で署名されたパッケージをダウンロード、インストール、実行するには、信頼できるソースとして追加します。

NuGet.configファイルを開きます。
<trustedSigners> セクションで <author> タグを追加し、信頼できる作成者の値を指定します。たとえば、UiPath には次の作成者の値があります。
```
<config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <author name="UiPath">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false"/>
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </author>
</trustedSigners><config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <author name="UiPath">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false"/>
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </author>
</trustedSigners>
```

<trustedSigners> セクションで <repository> タグを追加し、信頼するリポジトリの値を指定します。たとえば、UiPath には次のリポジトリ値があります。

<config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <repository name="UiPathRepository" serviceIndex="https://gallery.uipath.com/api/v3/index.json">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </repository>
</trustedSigners><config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
   <repository name="UiPathRepository" serviceIndex="https://gallery.uipath.com/api/v3/index.json">
      <certificate fingerprint="D179174EBC1E180D656BFB15BE369DEA8A17C178230FAC7771BF5446940C290C" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
      <certificate fingerprint="ABD1E1BB749DDC96B46A1DBD91B93A2D8B3B5572D1E20A52F6165ED96FC117E0" hashAlgorithm="SHA256" allowUntrustedRoot="false" />
   </repository>
</trustedSigners>

信頼できる所有者のリストを追加するために、<owners> タグを追加し、信頼できる作成者の名前を指定します。これにより、信頼できる複数の作成者によって署名されたパッケージのみが許可されます。

<config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
    <repository name="UiPath Repository" serviceIndex="https://uipath.repository">
        <certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
        <owners>Author1;Author2;Author3</owners> 
    </repository>
</trustedSigners><config>
     <add key="signatureValidationMode" value="require" />
</config>
<trustedSigners>
    <repository name="UiPath Repository" serviceIndex="https://uipath.repository">
        <certificate fingerprint="1234512345123451234512345123123123123123123123123123112312312E5" hashAlgorithm="SHA256" allowUntrustedRoot="true" />
        <owners>Author1;Author2;Author3</owners> 
    </repository>
</trustedSigners>