cicd-integrations
2025.10
true
- UiPath CLI 发行说明
- Azure DevOps 扩展程序发布说明
- Jenkins 插件发行说明
CI/CD 集成发行说明
上次更新日期 2026年5月5日
发布日期:2026 年 5 月 1 日
- 添加
--ca-cert和--pinnedpubkey参数,以在内部 PKI Orchestrator 上自定义 TLS 信任
新增功能
信任自定义证书
每个经过身份验证的 CLI 动词(每个solution 、 package 、 asset 、 job和test命令)都可以使用两个新的可选参数。它们让 CLI 连接到 TLS 证书并非由公开信任的 CA 签名的 Orchestrator 实例,而无需修改操作系统的信任存储。
--ca-cert
提供 CLI 在验证服务器时会接受的一个或多个其他受信任的根 CA 证书。标志具有累积性 - 您的系统信任存储仍然适用于其他所有内容;这只会扩展首先接受的内容。
uipcli ... --ca-cert "C:\certs\as-root.pem"
uipcli ... --ca-cert "C:\certs\as-root.pem"
支持的证书文件格式:
- PEM - 带有
-----BEGIN CERTIFICATE-----标记的文本格式。单个文件可能包含多个级联证书(“捆绑包”)。 - DER - 二进制 X.509。
- PKCS#7 (
.p7b、.p7c) - 不带私钥的证书集合,这是 Windowscertmgr默认导出的格式。
不支持 PFX/PKCS#12( .pfx 、 .p12 )- 携带私钥且仅用于客户端身份,不用于服务器信任。
多个证书:
当连接到具有不同集群 CA 的多个内部 Orchestrator 时,或者将公司根与 Automation Suite 根捆绑在一起时,您可以提供多个根。三种等效形式:
--ca-cert "C:\certs\as-root.pem" --ca-cert "C:\certs\corp-root.pem"
--ca-cert "C:\certs\as-root.pem,C:\certs\corp-root.pem"
--ca-cert "C:\certs\bundle.pem" # single PEM file containing both roots
--ca-cert "C:\certs\as-root.pem" --ca-cert "C:\certs\corp-root.pem"
--ca-cert "C:\certs\as-root.pem,C:\certs\corp-root.pem"
--ca-cert "C:\certs\bundle.pem" # single PEM file containing both roots
--pinnedpubkey
将服务器的叶证书公钥固定到特定 SHA-256 哈希值。格式为 curl 兼容: sha256//后跟主题公钥信息的 base64 哈希值。
uipcli ... --pinnedpubkey "sha256//5FAF491D9F7AC8274B1353B9E2E9317733033EFC22341ABAEA6466037D5123EE="
uipcli ... --pinnedpubkey "sha256//5FAF491D9F7AC8274B1353B9E2E9317733033EFC22341ABAEA6466037D5123EE="
除了标准证书验证外,系统还会检查 PIN 码,而不是替代证书验证。连接到具有私有 CA 的 Orchestrator 时,请将--ca-cert与--pinnedpubkey一起传递。
何时使用这些参数
- 连接到 UiPath Automation Suite - 集群的 TLS 证书由自签名的
UiPath AS Root CA签名。传递指向集群的导出根证书的--ca-cert。 - 您无法在系统范围内安装证书的 CI/CD 运行程序- 临时运行或在服务帐户下运行的工作器通常无法修改信任存储。使用
--ca-cert将信任范围仅限制为 CLI 调用。 - 一个管道中包含多个 Orchestrator 目标- 通过重复的
--ca-cert标志提供每个集群的根目录。 - 提供额外保护,防止公共 CA 被入侵- 添加
--pinnedpubkey,以便系统拒绝来自系统已信任的任何 CA 错误颁发的证书,除非其公钥与您的 PIN 码匹配。
如果两个标志均未提供,则 CLI 的行为与以前完全相同 - 仅针对系统信任存储运行验证。