Transport Layer Security der Anwendung konfigurieren

Verwenden Sie die Assistentenseite zur TLS-Konfiguration (Transport Layer Security) des Automation 360-Installationsprogramms, um ein selbstsigniertes Zertifikat zu erzeugen oder ein Sicherheitszertifikat zu importieren und so eine hochsichere Control Room-Instanz einzurichten.

Automation Anywhere nutzt die Verschlüsselungen TLS 1.2 und TLS 1.3 für die HTTPS- und TCP-Kommunikation zwischen den Komponenten. Die TLS-Zertifikate werden auf den Automation Anywhere Control Room- und IQ Bot-Servern installiert. Die Zertifikate werden im PFX-Format installiert und für die Kommunikation genutzt.

Anmerkung: Wenn Ihr Load Balancer HTTP verwendet, um den Datenverkehr an den Control Room weiterzuleiten, verwenden Sie nicht die Option HTTP-Traffic auf HTTPS zwingen. Stattdessen wird empfohlen, zur Weiterleitung des Load Balancer-Datenverkehrs HTTPS zu verwenden, um die Sicherheit zu erhöhen.

Prozedur

  1. Konfigurieren Sie auf der Seite TLS-Konfiguration Folgendes:
    • Ein selbstsigniertes Zertifikat generieren

      Durch Aktivieren von Selbstsigniertes Zertifikat kann das Installationsprogramm einen eindeutigen, privaten Schlüssel und ein selbstsigniertes Zertifikat für den Control Room generieren.

    • Ein Zertifikat importieren

      Um ein benutzerdefiniertes Zertifikat zu importieren, deaktivieren Sie das Kontrollkästchen Selbstsigniertes Zertifikat. Mit dieser Einstellung können Sie ein Zertifikat über das Feld Zertifikatspfad importieren.

      Anmerkung: Die Zertifikatdatei muss das PKCS12-Format aufweisen.
      Stellen Sie folgende Informationen bereit:
      • Zertifikatpfad: Klicken Sie auf Durchsuchen, um das Zertifikat zu importieren.
      • Passwort für den privaten Schlüssel: Geben Sie das Passwort für den privaten Schlüssel ein.
        Password limitation: Verwenden Sie in Passwörtern nicht das AT-Zeichen (@). Die Verwendung des Sonderzeichens @ im Passwort führt dazu, dass der Import der Zertifikatsdatei fehlschlägt.
      • ZIP-Datei mit Zwischenzertifikaten: Klicken Sie auf Durchsuchen, um das Zertifikat zu importieren.

        Die Zwischenzertifikatsdatei muss eine einzelne ZIP-Datei sein, die das Zertifikatsdateiformat P12 oder PKCS12 und das Zertifikatsdateiformat PEM enthält.

        Anmerkung:
        • Der Import von Zwischenzertifikaten wird nur von Windows unterstützt.
        • Die Zertifikate in der ZIP-Datei müssen sich im Stammverzeichnis befinden, es dürfen keine Unterordner enthalten sein.
        • Passwortgeschützte Zwischenzertifikate werden nicht unterstützt.
      • Webserver-Port: Geben Sie den Webserver-Port ein, entweder HTTP oder HTTPS. Wenn der Port bereits zugewiesen ist, wird eine Fehlermeldung angezeigt.
        Wichtig: Die Port-Validierungsmeldung wird auch angezeigt, wenn Sie 8080 für den Webserver hinzufügen und dieser Port bereits für den Control Room-Lizenzdienst verwendet wird. Verwenden Sie in diesen Fällen einen anderen, noch nicht zugewiesenen Port.
      • HTTP-Traffic auf HTTPS zwingen: Durch diese Option werden alle Anforderungen an HTTP-Ports an HTTPS umgeleitet. Um mit dem generierten selbstsignierten Zertifikat über HTTPS auf den Control Room zuzugreifen, vergewissern Sie sich, dass die Portnummern für HTTP und HTTPS unterschiedlich sind.
        Um ein benutzerdefiniertes Zertifikat für HTTPS zu erstellen, muss Ihr benutzerdefiniertes Zertifikat die folgenden Bedingungen erfüllen:
        • Erstellen Sie ein .pfx-Zertifikat mit einem Passcode von einer vertrauenswürdigen Zertifizierungsstelle.
        • Kombinieren Sie Root-, Zwischen- und Maschinenzertifikate in einem einzigen Zertifikat.
        • Verwenden Sie für den privaten Schlüssel das Format [WS Machine Host Name].[DomainName].com.
        • Fügen Sie den Hostnamen als vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) in das Zertifikat ein.

          Sie geben den Hostnamen während der Control Room-Installation an.

        • In HA-Clustern mit mehreren Knoten stellen Sie Zertifikate für den DNS-Namen des Load Balancer aus.
        • Fügen Sie einzelne URLs, die Zugriff auf alle Knoten erfordern, in das Feld Alternativer Antragstellername im Zertifikat ein.

        Weitere Informationen finden Sie auf der Support-Website von Automation Anywhere. Automation 360 On-Premises prerequisites (A-People login required).

        Die folgende Beispielabbildung zeigt die Optionen für den Import eines benutzerdefinierten Zertifikats:

        Abbildung zum Import eines benutzerdefinierten Zertifikats
  2. Klicken Sie auf Weiter, um die Dienstanmeldedaten zu konfigurieren.