- 概述
- 要求
- 安装
- 先决条件检查
- 下载安装包
- uipathctl cluster
- uipathctl 集群维护
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl 集群升级
- uipathctl 配置
- uipathctl 配置警示
- uipathctl configalerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config additional-ca-certificates get
- uipathctl config tls-certificates get
- uipathctl config Orchestrator
- uipathctl config Orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config additional-ca-certificates update
- uipathctl config tls-certificates update
- uipathctl 运行状况
- uipathctl 运行状况捆绑包
- uipathctl 运行状况检查
- uipathctl health diagnose
- uipathctl health test
- uipathctl identity
- uipathctl identity add-host-admin
- uipathctl identity Enable-basic-auth
- uipathctl identity get-saml-certificate
- uipathctl identity get-token-signing-certificate
- uipathctl identity rotate-saml-certificates
- uipathctl identity rotate-token-signing-certificates
- uipathctl identity update-saml-certificate
- uipathctl identity update-token-signing-certificate
- uipathctl 清单
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest list-applications
- uipathctl manifest render
- uipathctl 先决条件
- uipathctl prereq create
- uipathctl prereq run
- uipathctl 资源
- uipathctl 资源报告
- uipathctl 快照
- uipathctl 快照备份
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl sso
- uipathctl sso generate-connector
- uipathctl sso generate-overlays
- uipathctl sso generate-rbac
- uipathctl 版本
- 安装后
- 迁移和升级
- 监控和警示
- 集群管理
- 特定于产品的配置
- 故障排除
证书概述
本页介绍 Automation Suite 安装所需的所有证书,以及证书轮换流程的原则。
https://automationsuite.mycompany.com/identity
连接到身份服务器以进行用户身份验证。
虽然两个不同的 Automation Suite 产品必须使用集群的 FQDN,但它们也可以包含多个微服务。 这些微服务可以使用内部 URL 相互通信。
下图和流程说明了客户端如何连接到服务,以及如何通过身份服务完成身份验证。
- 客户端使用以下 URL 与服务(即 Orchestrator、Apps、Insights 等)建立连接:
https://automationsuite.mycompany.com/myorg/mytenant/service_
。 - Istio 拦截调用,并根据
service_
的路径,将调用转发到特定服务。 - 该服务调用身份服务,以对通过
https://automationsuite.mycompany.com/myorg/mytenant/identity_
来自机器人的传入请求进行身份验证。 - Istio 拦截调用,并根据路径
identity_
将请求转发到身份服务。 - 身份服务将响应及其结果返回给 Istio。
- Istio 将响应返回给服务。 由于调用是使用 HTTPS 协议进行的,因此 Istio 返回带有 TLS 证书的响应,以确保连接安全。 如果服务信任 Istio 返回的服务器证书,则会批准响应。 否则,服务将拒绝响应。
- 该服务准备响应并将其发送回 Istio。
-
Istio 将请求转发回客户端。 如果客户端计算机信任证书,则整个请求都会成功。 否则,请求将失败。
本节介绍机器人尝试连接到 Automation Suite 中的 Orchestrator 的场景。 下图和流程说明了机器人如何连接到 Orchestrator,以及如何通过 Identity Server 完成身份验证。
- 机器人使用以下 URL 与 Orchestrator 建立连接:
https://automationsuite.mycompany.com/myorg/mytenant/orchestrator_
- Istio 拦截调用,并根据
orchestrator_
路径将其转发到 Orchestrator 服务。 - Orchestrator 服务调用身份服务器,以通过
https://automationsuite.mycompany.com/myorg/mytenant/identity_
对来自机器人的传入请求进行身份验证。 - Istio 拦截调用,并根据
identity_
路径将请求转发到 Identity Server。 - Identity Server 将响应和结果返回给 Istio。
- Istio 将响应返回给 Orchestrator。 由于调用是使用 HTTPS 协议进行的,因此 Istio 返回带有 TLS 证书的响应,因此该连接是安全的。 如果 Orchestrator 信任 Istio 返回的服务器证书,则它也会批准响应。 否则,Orchestrator 将拒绝响应。
- Orchestrator 准备响应并将其发送回 Istio。
-
Istio 将请求转发回机器人。 如果机器人计算机信任证书,则整个请求都会成功。 否则,请求将失败。
在此示例中,容器具有自己的操作系统 (RHEL 操作系统),服务可以表示在 RHEL 操作系统之上运行的 Orchestrator。
/etc/pki/ca-trust/ca/
。
此路径是 RHEL OS 存储所有证书的位置。 每个容器都有自己的证书信任存储。 作为 Automation Suite 配置的一部分,我们会注入包含根证书、所有中间证书以及叶证书的整个证书链,并将其存储在此路径中。 由于服务信任根证书和中间证书,因此它们会自动信任由根证书和中间证书创建的任何其他证书。
Automation Suite 中有数百个容器正在运行。 为所有服务的每个容器手动添加证书将是一项艰巨的任务。 但是,Automation Suite 包含一个 共享卷 和一个初始化容器 证书信任 程序,以帮助完成此任务。 Init 是一个专用容器,在 Pod 中在应用程序容器之前运行,其生命周期在完成作业后立即结束。
在以下示例中,Orchestrator 服务在一个 Pod 中运行。 需要提醒的是,一个 Pod 可以包含多个容器。 在此 Pod 中,我们再注入一个名为 Cert-trustor 的Init 容器。 此容器将包含根证书、中间证书和叶证书。
/etc/pki/ca-trust/ca/source/anchors
。
/etc/pki/ca-trust/ca/source/anchors
位置的共享卷中添加证书并终止。
证书将通过共享卷提供给 Orchestrator 服务。
- 如果启用,SAML2 身份验证协议可以使用服务证书。
- 如果您使用用户名和密码配置 Active Directory,则 LDAPS(基于 SSL 的 LDAP)是可选的。 如果选择 LDAPS,则必须提供证书。 此证书将添加到 Automation Suite 的受信任根证书颁发机构中。 有关详细信息,请参阅 Microsoft 文档。
此证书将添加到 Automation Suite 的受信任根证书颁发机构中。
证书存储在两个位置:
- {
istio-system
中的istio-ingressgateway-certs
} uipath
命名空间
istio-system
和uipath
命名空间中的证书,您必须运行uipathctl config update-tls-certificates
命令。
uipath
命名空间中运行的 Pod 无法访问存储在 istio-system
命名空间中的密码。 因此,证书将复制到两个命名空间中。
uipath
命名空间,我们将证书装载到需要证书的 Pod 中,并重新启动 Pod,以便它们可以使用新证书。
使用滚动部署方法进行更新。 如果微服务有两个用于高可用性目的的 Pod,则更新将删除其中一个 Pod,并且该 Pod 的新版本将出现。 成功启动新版本后,旧版本将被删除。 在旧的 Pod 尚未终止期间,将有一个短暂的停机时间。