安全性与合规性

启用 FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

在以下情况，您可以在安装 Automation Suite 的计算机上启用 FIPS 140-2：

场景 1：全新安装 - 在执行 Automation Suite 2023.4 或更高版本的全新安装之前启用 FIPS 140-2。
场景 2：现有安装 - 在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后，启用 FIPS 140-2。

场景 1：新安装

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在开始安装 Automation Suite 之前，请在计算机上启用 FIPS 140-2。
有关详细信息，请参阅以下内容：
- 在单节点环境下配置计算机
- 在多节点环境下配置计算机
按照本指南中的安装说明执行 Automation Suite 安装。
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅以下内容：
  - 在单节点环境中配置 Microsoft SQL Server
  - 在多节点环境中配置 Microsoft SQL Server
- 请确保已禁用 Insights，因为 FIPS 140-2 不支持此功能。
确保您的证书与 FIPS 140-2 兼容。
备注：
默认情况下，Automation Suite 2023.4 及更高版本会生成与 FIPS 140-2 兼容的自签名证书，其到期日期取决于您选择的 Automation Suite 安装类型。

强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite，新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。
- 要更新令牌签名证书，请运行以下内容：
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- 要更新 TLS 证书，请运行以下内容：
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs
有关证书的更多信息，请参阅管理证书。

场景 2：现有安装

您可以在禁用 FIPS 140-2 的计算机上安装 Automation Suite，然后在同一计算机上启用安全标准。升级到新的 Automation Suite 版本时，也可以使用此方法。

要在已执行 Automation Suite 安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在禁用 FIPS 140-2 的计算机上执行常规 Automation Suite 安装或升级操作。
在所有计算机上运行以下命令来启用 FIPS 140-2：
```
fips-mode-setup --enablefips-mode-setup --enable
```
确保您的证书与 FIPS 140-2 兼容。
备注：
要在启用 FIPS 140-2 的计算机上使用 Automation Suite，您必须将证书替换为由 CA 签名且与 FIPS 140-2 兼容的新证书。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。
- 要更新令牌签名证书，请运行以下内容：
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- 要更新 TLS 证书，请运行以下内容：
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs
有关证书的更多信息，请参阅管理证书。
确保您的产品选择符合 FIPS-140-2 要求：
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅以下内容：
  - 在单节点环境中配置 Microsoft SQL Server
  - 在多节点环境中配置 Microsoft SQL Server
- 如果您之前启用了 Insights，则必须将其禁用，因为 FIPS 140-2 不支持它。有关如何在安装后禁用产品的详细信息，请参阅管理产品。
重新启动计算机，并通过运行以下命令检查您是否已成功启用 FIPS 140-2：
```
fips-mode-setup --checkfips-mode-setup --check
```

重新运行 install-uipath.sh 服务安装程序：

在在线环境中，运行：

./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online

在离线环境中，运行：

./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement