orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white
Orchestrator 安装指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年12月4日

安装前所需的必备程序

除了此处列出的 Orchestrator 安装先决条件外,Identity Server 还需要有效证书。

证书

Identity Server 需要以下有效证书:

  • HTTPS 协议证书
  • A certificate used to sign the tokens generated by the Identity Server.The certificate is used for signing OpenID access tokens that are used for user identification via browser and for service-to-service communication between Orchestrator and Identity Server. Click here for more details about OpenID Connect.

    重要提示:

    您可以使用最大密钥长度 4096 位对证书进行签名。 作为最佳实践,我们强烈建议您使用至少 512 位(64 字节)长度的密钥。

    重要提示:

    出于安全原因,身份服务器使用的证书需要:

    • 具有 2048 位公钥
    • 具有可由应用程序池用户访问的私钥,
    • 处于有效期(未过期)。
    证书的位置设置在身份服务器的配置文件 appsettings.Production.json签名凭据部分中。

证书轮换

您可以采用证书轮换方法来避免证书过期和 Identity Server 中断的风险。此方法需要维护两个证书并定期对证书进行轮换。但是请注意,一次只能使用一个签名密钥。

要启动证书轮换过程,请执行以下步骤:

  1. 使用 appsettings.Production.json 的“签名信用设置”部分的 StoreLocation 参数指定初始证书的 NameLocationNameType。请注意,这是默认的签名密钥。
  2. appsettings.Production.json 文件的同一部分使用 ValidationKeys 参数指定第二个证书的 NameLocationNameType。请确保在轮换日期之前完成此步骤。
  3. 在此阶段,使用 identity/.well-known/openid-configuration/jwks 端点发布第二个证书。这样可以确保每位用户都有足够的时间更新其缓存的发现文档。
  4. 在轮换时,切换证书并重新启动 Identity Server。现在,可以将新证书用于签名,而只要您需要,就可以继续使用之前的证书进行验证。
  5. 48 小时后,您可以从配置中安全地删除以前的证书。
在以下示例中,SigningCredential 引用当前使用的证书,而 ValidationKeys 引用新发布的验证密钥。
"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }
重要提示:如果您使用的是 AI Center,请确保在更新 Identity Server 证书时重新部署它。
AppSettings.Production.json 加密的影响
轮换证书可能会影响 AppSetting.Production.json 数据的加密。

要轮换签名证书,同时确保设置加密安全,请执行以下操作:

  1. 解密 AppSettings.Production.json 文件。
  2. 更新 AppSettings.Production.json 文件中的签名证书。
  3. 加密 AppSettings.Production.json 文件。
  4. 重新启动身份服务器。
  • 证书
  • 证书轮换

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。