On-Premises-Erstinstallation mit HashiCorp Vault

Mit der Methode der Erstinstallation können Sie eine Verbindung herstellen und den externen Schlüsseltresor-Connector, die Anmeldedaten des Dienstkontos (Active Directory-Administratorpasswort) und die Bootstrap-Anmeldedatenkennung (Datenbank) konfigurieren.

Anmerkung: Sie müssen die Microsoft SQL Server-Authentifizierung als Datenbank auswählen; andere Datenbank-Authentifizierungsmethoden werden für diesen Anwendungsfall nicht unterstützt.

Die Erstinstallation unterstützt in Bezug auf die Bootstrap-Anmeldeinformationen für den Control Room eine passwortlose Installation. Bei der passwortlosen Installation werden die Bootstrap-Anmeldedaten durch den im Tresor konfigurierten geheimen Namen identifiziert.

Sie können die SMTP- und AD-Anmeldedatenkennung für den Abruf aus dem externen Schlüsseltresor über die Automation 360-Nutzeroberfläche konfigurieren.

Prozedur

  1. Nachdem Sie den Automation 360-Installationsassistenten gestartet haben, wählen Sie Lokal als Bereitstellungsoption aus und klicken Sie auf Weiter.
  2. Akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.
  3. Wählen Sie unter Einstellungen für den Installationstyp die Option Benutzerdefiniert aus und klicken Sie auf Weiter.
  4. Akzeptieren Sie die Standardspeicherorte für die Zielordner und klicken Sie auf Weiter.
  5. Wählen Sie Microsoft SQL Server als Datenbanktyp und klicken Sie auf Weiter.
  6. Wählen Sie HashiCorp aus der Dropdown-Liste Externe Schlüsseltresor-Integration.
    1. Geben Sie in das Feld Tresor-URL die HashiCorp Server-API-URL ein (zum Beispiel: https://<host> oder https://<host or IP>:<port>.
    2. Geben Sie in das Feld Rollen-ID die HashiCorp-Rollen-ID ein (z. B.: 675a50e7-cfe0-be76-e35f-49ec009731ea).
    3. Geben Sie in das Feld Rollenname den HashiCorp-Rollennamen ein (z. B.: jenkins).
    4. Geben Sie in das Feld Geheime ID die geheime HashiCorp-ID ein (z. B.: ed0a642f-2acf-c2da-232f-1b21300d5f29).
    5. Optional: Geben Sie in das Feld Namespace den Namespace ein.
    6. Optional: Wenn die ausstellende Zertifizierungsstelle (CA) des HashiCorp-Serverzertifikats vom Control Room als nicht vertrauenswürdig eingestuft wird, geben Sie ein optionales Serverzertifikat ein.
      Dies ist das Serverzertifikat (.pem-Format) für den HashiCorp-Server ohne einen privaten Schlüssel (Betreff des Zertifikats: Feld enthält den FQDN des HashiCorp-Servers). Das Installationsprogramm fügt das optionale HashiCorp-Serverzertifikat dem vom Control Room verwendeten Truststore hinzu.
    7. Klicken Sie auf Weiter.
      Hashicorp-Option für externen Schlüsseltresor
  7. Übernehmen Sie die Standardeinstellungen aus dem Dialogfeld TLS-Konfiguration und klicken Sie auf Weiter.
  8. Wählen Sie im Dialogfeld Dienstanmeldedaten eine Option aus, um Geheimer HashiCorp-Name von HashiCorp anzugeben, anstatt den Nutzernamen und das Passwort für das Dienstkonto manuell einzugeben, das vom Control Room verwendet wird.
  9. Klicken Sie auf Dienstkonto (Anmeldedaten aus externem Schlüsseltresor abrufen) und geben Sie dann den Wert Geheimer HashiCorp-Name ein.
    Das Installationsprogramm fragt die Anmeldedaten beim HashiCorp-Server ab, um die Konfiguration zu validieren.
    Einträge für sichere Namen und Objektnamen bei HashiCorp-Dienstberechtigungen
    Anmerkung: Wenn die Option Dienstkonto nicht zur Angabe von Geheimer HashiCorp-Name verfügbar ist, bedeutet dies, dass HashiCorp Vault zuvor nicht ordnungsgemäß konfiguriert wurde. Wenden Sie sich an Ihr AAI-Supportteam.

    Siehe: Problembehandlung bei externen Schlüsseltresoren.

  10. Klicken Sie auf Weiter.
  11. Wählen Sie im Dialogfeld Datenbankserver Ihren Datenbankserver aus, geben Sie den Namen Ihrer Control Room-Datenbank ein und klicken Sie dann auf Weiter.
    Name der Control Room-Datenbank
  12. Wählen Sie im Dialogfeld Datenbankauthentifizierung eine Option aus, um Geheimer HashiCorp-Name von HashiCorp anzugeben, anstatt den Nutzernamen und das Passwort manuell einzugeben, die Control Room zur Authentifizierung bei der Datenbank verwendet.
    1. Klicken Sie auf SQL Server-Authentifizierung (Anmeldedaten aus externem Schlüsseltresor abrufen) und geben Sie dann den Wert Geheimer HashiCorp-Name ein.
    2. Klicken Sie auf Weiter, um fortzufahren und die Erstinstallation abzuschließen.
    SQL-Server-Authentifizierung für den geheimen HashiCorp-Namen

Nach erfolgreicher Erstinstallation kann der Automation 360-Control Room auf Anmeldedaten im HashiCorp Vault zugreifen und diese abrufen.