Usando um certificado para o protocolo HTTPS

Solicitando um certificado SSL SAN da Autoridade Certificadora

Esta seção fornece uma explicação sobre como habilitar o protocolo HTTP para a comunicação entre o Orchestrator e os Robôs.

É preferível usar um certificado SSL de SAN enviado a uma Autoridade Certificadora em vez de um certificado autoassinado, pois nenhum certificado deve ser instalado em computadores com o UiPath Robot no primeiro caso. O certificado de SLL SAN emitido pela Autoridade Certificadora é confiável por todos os computadores no domínio.

Se a máquina primária do Orchestrator for registrada em um Active Directory que tenha uma Autoridade Certificadora local e uma política de registro automático, o usuário pode preencher uma solicitação de certificação, conforme descrito no seguinte procedimento.

Pressione as teclas Windows e R, digite certlm.msc e clique em OK para abrir o snap-in Certificados.
Clique com o botão direito do mouse no nó Pessoal, selecione Todas as Tarefas e depois Operações Avançadas e Criar Solicitação Personalizada. Clique em Avançar na janela Antes de Iniciar.
Na janela Selecione a Política de Registro de Certificado, selecione Política de Registro do Active Directory e clique em Avançar.
Na janela Solicitação Personalizada, selecione um modelo de certificado designado para uso do servidor da Web. Ele deve ser chamado Servidor da Web ou Web.SAN. Se nenhum modelo for definido, escolha (Sem modelo) Chave Legada. Então, selecione PKCS #10 como seu formato de solicitação.
Na janela Informações de Certificado, clique no botão Detalhes correspondente à sua solicitação e selecione Propriedades para abrir a janela Propriedades do Certificado e personalizar a solicitação do certificado.
Personalize as informações na aba Assunto, conforme descrito abaixo:

6.1. Na seção Nome de Entidade, acesse Tipo e selecione Nome Comum no menu suspenso. No campo Valor, digite o nome de domínio totalmente qualificado (FQDN) da máquina, por exemplo, myhost.domain.local. Então clique em Adicionar.

6.2. Na seção Nome Alternativo, acesse Tipo e selecione DNS no menu suspenso. No campo Valor, digite o FQDN da máquina (a mesma da etapa 6.1.). Então clique em Adicionar.

6.3. Se o Orchestrator for instalado em vários nós, você precisa adicionar todos esses FQDNs, conforme descrito na etapa 6.2. Adicione também o FQDN do balanceador de carga.
Personalize as informações na aba Chave Privada conforme descrito abaixo:

7.1. Na caixa Provedor de Serviço Criptográfico, acesse Selecionar provedor de serviço criptográfico (CSP), marque Provedor criptográfico do Microsoft RSA SChannel (Criptografia).

7.2. Na seção Opções de Chave, certifique-se de que o Tamanho da Chave esteja definido como pelo menos 2048 e Tornar a chave privada exportável esteja marcado.

7.3. Na seção Tipo de Chave, certifique-se de que o Uso de chave esteja definido como Exchange.
Clique em OK na janela de configuração e Avançar na tela Informações de Certificado.
Na tela Onde você deseja salvar sua solicitação off-line? indique um caminho de arquivo e nome de arquivo da sua escolha, por exemplo, C:\Users\YourUser\Documents\sslRequest.req, e selecione Base 64 como seu formato de arquivo.
Após a Autoridade Certificadora aceitar a solicitação de inscrição, o certificado estará visível no Armazenamento pessoal.

Importante:
Se a empresa tiver um procedimento/modelo padrão para a obtenção do certificado, o usuário deve consultar esse procedimento.

Para outros ambientes (por exemplo, sem a política de registro automático), você ainda pode usar este documento como referência para os parâmetros de certificado.

Criando um Certificado SSL SAN Autoassinado

Se você precisar criar um certificado SSL rapidamente, apenas para fins de testes, você pode criar um certificado SSL SAN autoassinado.

Importante: Se sua máquina do Orchestrator estiver executando o Windows Server 2012 R2, uma solução alternativa é necessária para criar um certificado SSL SAN autoassinado. Para mais detalhes, consulte Como criar um Certificado SSL SAN Autoassinado em uma Máquina do Orchestrator do Windows Server 2012 R2.

Criando um Certificado SSL Autoassinado na Máquina Primária do Orchestrator

Abra um console do PowerShell como administrador e emita os seguintes comandos. Não se esqueça de personalizar os valores de acordo com seu ambiente.

$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass

Os comandos acima também exportam o arquivo C:\temp\testingCertificate.pfx para uso posterior.

Depois que o certificado for criado, certifique-se de que:

Se ApplicationPoolIdentity for usado, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao IIS AppPool\Identity e IIS_IUSRS.
Se uma conta personalizada for usada, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao usuário personalizado definido no Pool de aplicativos do Orchestrator.

Observação:

IIS AppPool\Identity e IIS_IUSRS são grupos locais e devem ser pesquisados em máquina local, não em domínio.

Importando o Certificado Autoassinado de SAN para Outras Máquinas

Para disponibilizar o certificado autoassinado, em outras máquinas (nós do Orchestrator secundário/máquinas com UiPath Robot), abra um console do PowerShell como administrador e emita os seguintes comandos.

$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)

Firefox — Permitindo Exceções

O Firefox lida com o processo de forma um pouco diferente, pois não lê as informações do certificado no armazenamento do Windows. Ao invés de instalar certificados, permite que você defina exceções para certificados SSL em sites específicos.

Quando você visita um site que tenha um erro de certificado, a mensagem de aviso na captura de tela abaixo é exibida. A URL que você está tentando acessar é exibida na área azul. Para criar uma exceção para ignorar esse aviso nessa URL específica:

Clique no botão Adicionar Exceção. A janela Adicionar Exceção de Segurança é exibida.
Na janela Adicionar Exceção de Segurança, clique em Confirmar Exceção de Segurança para configurar essa exceção localmente.

Observação: Se um site específico redirecionar para subdomínios dentro dele, você pode receber várias mensagens de alerta de segurança com urls ligeiramente diferentes a cada vez.Adicione exceções para essas URLs seguindo as etapas acima.

Certificados de solução de problemas

Caso você encontre problemas para usar um certificado com UiPathOrchestrator.msi (durante a instalação ou a atualização), é aqui que você pode iniciar sua solução de problemas:

No Painel de Controle:

Abra Gerenciar Certificados de Computador -> Pessoal -> Certificados. Identifique seu certificado e clique duas vezes no mesmo. Na aba Geral deve haver informações sobre sua validade.
Em uma linha de comando, execute o seguinte comando para diagnosticar o certificado: certutil -v -verifystore My <certificateThumbprint>- seu resumo está na parte final dos dados resultantes.

Observação: você pode encontrar a impressão digital do seu certificado na aba Detalhes descrita na Etapa 1.

Erro Interno do Servidor

Um erro interno do servidor pode ocorrer se o certificado não tiver as permissões apropriadas definidas. Execute o seguinte como Administrador para conceder as permissões necessárias:

import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $aclimport-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl

Após executar o script, certifique-se de que:

Se ApplicationPoolIdentity for usado, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao IIS AppPool\Identity e IIS_IUSRS.
Se uma conta personalizada for usada, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao usuário personalizado definido no Pool de aplicativos do Orchestrator.

Observação:

IIS AppPool\Identity e IIS_IUSRS são grupos locais e devem ser pesquisados em máquina local, não em domínio.

Erro de Certificado do Insights

Se você encontrar erros ao tentar alterar seu certificado do Insights, certifique-se de seguir as instruções fornecidas na Atualização do Certificado do Insights.

Criando um Certificado SSL SAN Autoassinado em uma Máquina do Orchestrator do Windows Server 2012 R2

O Windows Server 2012 R2 não é compatível com o -FriendlyName parâmetro. Se sua máquina do Orchestrator estiver executando esse sistema operacional, você precisa executar as seguintes etapas para criar um certificado SSL SAN autoassinado:

Crie o certificado em uma máquina que executa um SO mais recente que o Windows Server 2012 R2, conforme descrito na seção Criando um Certificado SSL Autoassinado na seção Máquina Primária do Orchestrator.
Importe o certificado SSL SAN autoassinado para a máquina do Windows Server 2012 R2 conforme descrito na seção Importando o Certificado Autoassinado SAN para Outras Máquinas.

Certifique-se de adicionar o certificado ao armazenamento de Autoridades Certificadora Pessoal e Confiável.
Pressione as teclas Windows e R e digite certlm.msc, e clique em OK para abrir o snap-in de Certificados.
Para permitir autorizações de leitura para a chave privada, siga uma das seguintes etapas:
Se você estiver usando o ApplicationPoolIdentity, acesse Armazenamento Pessoal > Todas as Tarefas > Gerenciar Chaves Privadas e forneça a permissão de leitura para o usuário IIS AppPool\UiPath Orchestrator.
Se você estiver usando uma conta personalizada, acesse Armazenamento Pessoal > Todas as Tarefas > Gerenciar chaves privadas e forneça as permissões de leitura para o usuário personalizado que é definido no Pool de Aplicativo do Orchestrator.