- Introdução
- Requisitos
- Requisitos de Hardware
- Requisitos de software
- Usando um certificado para o protocolo HTTPS
- Melhores práticas
- Instalação
- Atualizando
- Servidor de Identidade
- Complemento de alta disponibilidade
Guia de instalação do Orchestrator
Usando um certificado para o protocolo HTTPS
Esta seção fornece uma explicação sobre como habilitar o protocolo HTTP para a comunicação entre o Orchestrator e os Robôs.
É preferível usar um certificado SSL de SAN enviado a uma Autoridade Certificadora, ao invés de um certificado autoassinado, porque nenhum certificado deve ser instalado em computadores com o UiPath Robot no primeiro caso. O certificado de SLL SAN emitido pela Autoridade Certificadora é confiável por todos os computadores no domínio.
Se a máquina primária do Orchestrator for registrada em um Active Directory que tenha uma Autoridade Certificadora local e uma política de registro automático, o usuário pode preencher uma solicitação de certificação, conforme descrito no seguinte procedimento.
Se você precisar criar um certificado SSL rapidamente, apenas para fins de testes, você pode criar um certificado SSL SAN autoassinado.
Abra um console do PowerShell como administrador e emita os seguintes comandos. Não se esqueça de personalizar os valores de acordo com seu ambiente.
$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass
$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass
C:\temp\testingCertificate.pfx
para uso posterior.
Para disponibilizar o certificado autoassinado, em outras máquinas (nós do Orchestrator secundário/máquinas com UiPath Robot), abra um console do PowerShell como administrador e emita os seguintes comandos.
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)
O Firefox lida com o processo de forma um pouco diferente, pois não lê as informações do certificado no armazenamento do Windows. Ao invés de instalar certificados, permite que você defina exceções para certificados SSL em sites específicos.
Quando você visita um site que tenha um erro de certificado, a mensagem de aviso na captura de tela abaixo é exibida. A URL que você está tentando acessar é exibida na área azul. Para criar uma exceção para ignorar esse aviso nessa URL específica:
UiPathOrchestrator.msi
(durante a instalação ou a atualização), é aqui que você pode iniciar sua solução de problemas:
No Painel de Controle:
- Abra Gerenciar Certificados de Computador -> Pessoal -> Certificados. Identifique seu certificado e clique duas vezes no mesmo. Na aba Geral deve haver informações sobre sua validade.
- Em uma linha de comando, execute o seguinte comando para diagnosticar o certificado:
certutil -v -verifystore My <certificateThumbprint>
- seu resumo está na parte final dos dados resultantes.
Um erro interno do servidor pode ocorrer se o certificado não tiver as permissões apropriadas definidas. Execute o seguinte como Administrador para conceder as permissões necessárias:
import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl
import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl
Se você estiver encontrando erros ao tentar alterar seu certificado do Insights, certifique-se de seguir as instruções fornecidas na Atualização do Certificado do Insights.
Criando um Certificado SSL SAN Autoassinado em uma Máquina do Orchestrator do Windows Server 2012 R2
-FriendlyName
parâmetro. Se sua máquina do Orchestrator estiver executando esse sistema operacional, você precisa executar as seguintes etapas para criar um certificado SSL SAN autoassinado:
- Solicitando um certificado SSL SAN da Autoridade Certificadora
- Criando um Certificado SSL SAN Autoassinado
- Criando um Certificado SSL Autoassinado na Máquina Primária do Orchestrator
- Importando o Certificado Autoassinado de SAN para Outras Máquinas
- Firefox — Permitindo Exceções
- Certificados de solução de problemas
- Erro Interno do Servidor
- Erro de Certificado do Insights
- Criando um Certificado SSL SAN Autoassinado em uma Máquina do Orchestrator do Windows Server 2012 R2