orchestrator
2023.10
false
UiPath logo, featuring letters U and I in white
Guia de instalação do Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 3 de out de 2024

Usando um certificado para o protocolo HTTPS

Solicitando um certificado SSL SAN da Autoridade Certificadora

Esta seção fornece uma explicação sobre como habilitar o protocolo HTTP para a comunicação entre o Orchestrator e os Robôs.

É preferível usar um certificado SSL de SAN enviado a uma Autoridade Certificadora em vez de um certificado autoassinado, pois nenhum certificado deve ser instalado em computadores com o UiPath Robot no primeiro caso. O certificado de SLL SAN emitido pela Autoridade Certificadora é confiável por todos os computadores no domínio.

Se a máquina primária do Orchestrator for registrada em um Active Directory que tenha uma Autoridade Certificadora local e uma política de registro automático, o usuário pode preencher uma solicitação de certificação, conforme descrito no seguinte procedimento.

  1. Pressione as teclas Windows e R, digite certlm.msc e clique em OK para abrir o snap-in Certificados.
  2. Clique com o botão direito do mouse no nó Pessoal, selecione Todas as Tarefas e depois Operações Avançadas e Criar Solicitação Personalizada. Clique em Avançar na janela Antes de Iniciar.


  3. Na janela Selecione a Política de Registro de Certificado, selecione Política de Registro do Active Directory e clique em Avançar.
  4. Na janela Solicitação Personalizada, selecione um modelo de certificado designado para uso do servidor da Web. Ele deve ser chamado Servidor da Web ou Web.SAN. Se nenhum modelo for definido, escolha (Sem modelo) Chave Legada. Então, selecione PKCS #10 como seu formato de solicitação.


  5. Na janela Informações de Certificado, clique no botão Detalhes correspondente à sua solicitação e selecione Propriedades para abrir a janela Propriedades do Certificado e personalizar a solicitação do certificado.


  6. Personalize as informações na aba Assunto, conforme descrito abaixo:

    6.1. Na seção Nome de Entidade, acesse Tipo e selecione Nome Comum no menu suspenso. No campo Valor, digite o nome de domínio totalmente qualificado (FQDN) da máquina, por exemplo, myhost.domain.local. Então clique em Adicionar.

    6.2. Na seção Nome Alternativo, acesse Tipo e selecione DNS no menu suspenso. No campo Valor, digite o FQDN da máquina (a mesma da etapa 6.1.). Então clique em Adicionar.

    6.3. Se o Orchestrator for instalado em vários nós, você precisa adicionar todos esses FQDNs, conforme descrito na etapa 6.2. Adicione também o FQDN do balanceador de carga.



  7. Personalize as informações na aba Chave Privada conforme descrito abaixo:

    7.1. Na caixa Provedor de Serviço Criptográfico, acesse Selecionar provedor de serviço criptográfico (CSP), marque Provedor criptográfico do Microsoft RSA SChannel (Criptografia).



    7.2. Na seção Opções de Chave, certifique-se de que o Tamanho da Chave esteja definido como pelo menos 2048 e Tornar a chave privada exportável esteja marcado.

    docs image
    7.3. Na seção Tipo de Chave, certifique-se de que o Uso de chave esteja definido como Exchange.


  8. Clique em OK na janela de configuração e Avançar na tela Informações de Certificado.
  9. Na tela Onde você deseja salvar sua solicitação off-line? indique um caminho de arquivo e nome de arquivo da sua escolha, por exemplo, C:\Users\YourUser\Documents\sslRequest.req, e selecione Base 64 como seu formato de arquivo.


  10. Após a Autoridade Certificadora aceitar a solicitação de inscrição, o certificado estará visível no Armazenamento pessoal.
    Importante:

    Se a empresa tiver um procedimento/modelo padrão para a obtenção do certificado, o usuário deve consultar esse procedimento.

    Para outros ambientes (por exemplo, sem a política de registro automático), você ainda pode usar este documento como referência para os parâmetros de certificado.

Criando um Certificado SSL SAN Autoassinado

Se você precisar criar um certificado SSL rapidamente, apenas para fins de testes, você pode criar um certificado SSL SAN autoassinado.

Importante: Se sua máquina do Orchestrator estiver executando o Windows Server 2012 R2, uma solução alternativa é necessária para criar um certificado SSL SAN autoassinado. Para mais detalhes, consulte Como criar um Certificado SSL SAN Autoassinado em uma Máquina do Orchestrator do Windows Server 2012 R2.

Criando um Certificado SSL Autoassinado na Máquina Primária do Orchestrator

Abra um console do PowerShell como administrador e emita os seguintes comandos. Não se esqueça de personalizar os valores de acordo com seu ambiente.

$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass
Os comandos acima também exportam o arquivo C:\temp\testingCertificate.pfx para uso posterior.

Depois que o certificado for criado, certifique-se de que:

  • Se ApplicationPoolIdentity for usado, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao IIS AppPool\Identity e IIS_IUSRS.

  • Se uma conta personalizada for usada, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao usuário personalizado definido no Pool de aplicativos do Orchestrator.

Observação:

IIS AppPool\Identity e IIS_IUSRS são grupos locais e devem ser pesquisados em máquina local, não em domínio.

Importando o Certificado Autoassinado de SAN para Outras Máquinas

Para disponibilizar o certificado autoassinado, em outras máquinas (nós do Orchestrator secundário/máquinas com UiPath Robot), abra um console do PowerShell como administrador e emita os seguintes comandos.

$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)

Firefox — Permitindo Exceções

O Firefox lida com o processo de forma um pouco diferente, pois não lê as informações do certificado no armazenamento do Windows. Ao invés de instalar certificados, permite que você defina exceções para certificados SSL em sites específicos.

Quando você visita um site que tenha um erro de certificado, a mensagem de aviso na captura de tela abaixo é exibida. A URL que você está tentando acessar é exibida na área azul. Para criar uma exceção para ignorar esse aviso nessa URL específica:

  1. Clique no botão Adicionar Exceção. A janela Adicionar Exceção de Segurança é exibida.


  2. Na janela Adicionar Exceção de Segurança, clique em Confirmar Exceção de Segurança para configurar essa exceção localmente.


    Observação: Se um site específico redirecionar para subdomínios dentro dele, você pode receber várias mensagens de alerta de segurança com urls ligeiramente diferentes a cada vez.Adicione exceções para essas URLs seguindo as etapas acima.

Certificados de solução de problemas

Caso você encontre problemas para usar um certificado com UiPathOrchestrator.msi (durante a instalação ou a atualização), é aqui que você pode iniciar sua solução de problemas:

No Painel de Controle:

  1. Abra Gerenciar Certificados de Computador -> Pessoal -> Certificados. Identifique seu certificado e clique duas vezes no mesmo. Na aba Geral deve haver informações sobre sua validade.
  2. Em uma linha de comando, execute o seguinte comando para diagnosticar o certificado: certutil -v -verifystore My <certificateThumbprint>- seu resumo está na parte final dos dados resultantes.
Observação: você pode encontrar a impressão digital do seu certificado na aba Detalhes descrita na Etapa 1.

Erro Interno do Servidor

Um erro interno do servidor pode ocorrer se o certificado não tiver as permissões apropriadas definidas. Execute o seguinte como Administrador para conceder as permissões necessárias:

import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $aclimport-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl

Após executar o script, certifique-se de que:

  • Se ApplicationPoolIdentity for usado, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao IIS AppPool\Identity e IIS_IUSRS.

  • Se uma conta personalizada for usada, no console de certificados, navegue até Pessoal > Certificados. Em seguida, clique com o botão direito do mouse em seu certificado pessoal do Orchestrator, selecione Todas as tarefas > Gerenciar chaves privadas e dê permissões completas ao usuário personalizado definido no Pool de aplicativos do Orchestrator.

Observação:

IIS AppPool\Identity e IIS_IUSRS são grupos locais e devem ser pesquisados em máquina local, não em domínio.

Erro de Certificado do Insights

Se você encontrar erros ao tentar alterar seu certificado do Insights, certifique-se de seguir as instruções fornecidas na Atualização do Certificado do Insights.

Erro de certificado de navegadores baseados no Chromium

Se um erro de certificado ocorrer ao usar navegadores baseados no Chromium, crie um certificado autoassinado com uma assinatura digital da seguinte forma:

  1. Abra um console do PowerShell como administrador e emita os seguintes comandos. Não se esqueça de personalizar os valores de acordo com seu ambiente.
    $cert = New-SelfSignedCertificate -FriendlyName "MyServerSSL" -DnsName “example01” -CertStoreLocation "cert:\LocalMachine\My" -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment -KeyAlgorithm RSA -HashAlgorithm SHA256 -KeyLength 2048 -KeyUsageProperty All -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter (Get-Date).AddYears(5)
    $pwd = 'p@ssw0rd'
    $SSpwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText 
    Export-PfxCertificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_cert.pfx -Password $SSpwd
    Export-Certificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_public.cer$cert = New-SelfSignedCertificate -FriendlyName "MyServerSSL" -DnsName “example01” -CertStoreLocation "cert:\LocalMachine\My" -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment -KeyAlgorithm RSA -HashAlgorithm SHA256 -KeyLength 2048 -KeyUsageProperty All -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter (Get-Date).AddYears(5)
    $pwd = 'p@ssw0rd'
    $SSpwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText 
    Export-PfxCertificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_cert.pfx -Password $SSpwd
    Export-Certificate -Cert "Cert:\LocalMachine\My\$($cert.Thumbprint)" -FilePath custom_public.cer
    Observação:
    Os comandos também exportam o arquivo .pfx para uso posterior.
  2. Depois que o certificado for criado, você também deve levar em consideração os seguintes cenários:
    • Se o ApplicationPoolIdentity for usado:
      • No console de certificados, acesse Pessoal, em seguida, Certificados.
      • Clique com o botão direito do mouse no seu certificado pessoal do Orchestrator, selecione Todas as tarefas e, em seguida, Gerenciar chaves privadas.
      • Dê permissões completas para o IIS AppPool\Identity e o IIS_IUSRS.
    • Se uma conta personalizada for usada:
      • No console de certificados, acesse Pessoal e, em seguida, Certificados.
      • Clique com o botão direito do mouse no seu certificado pessoal do Orchestrator, selecione Todas as tarefas e, em seguida, Gerenciar chaves privadas.
      • Dê permissões completas ao usuário personalizado que é definido no Pool de Aplicativos do Orchestrator.
    Observação:

    IIS AppPool\Identity e IIS_IUSRS são grupos locais e devem ser pesquisados em máquina local, não em domínio.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.