Nach der On-Premises-Installation mit HashiCorp Vault

Sie verwenden das interaktive Befehlszeilen-Dienstprogramm für den Schlüsseltresor während einer geplanten Stillstandszeit des Systems und müssen alle ausgeführten Control Room-Dienste anhalten. Sie sollten alle Änderungen an der Konfiguration des Schlüsseltresors, die sich während der Stillstandszeiten auf die Verbindungsparameter (z. B. App-ID, Tresor-URL, Port-Nummern und Zertifikat) auswirken könnten, mit dem HashiCorp-Administrationsteam abstimmen.

Vorbereitungen

Anmerkung: Wenn Sie das Dienstprogramm für den Schlüsseltresor verwenden, um die Integration von HashiCorp Vault zu deaktivieren, müssen Sie zunächst die Zuordnung aller Anmeldedaten aufheben, die in Gebrauch sind.

Mit der Methode für den Zeitraum nach der Installation können Sie die folgenden Aktionen durchführen:

  • Ändern oder konfigurieren Sie die Verbindungsparameter des externen Schlüsseltresors.
  • (Falls bei der Erstinstallation nicht konfiguriert) Ändern oder konfigurieren Sie die Anmeldedaten für das Dienstkonto (Active Directory-Administratorpasswort).
  • (Falls bei der Erstinstallation nicht konfiguriert) Ändern oder konfigurieren Sie die Anmeldedatenkennung der Datenbank (Bootstrap) (die bei der Authentifizierung der Datenbank abgefragt wird).
    Anmerkung: Das Abrufen von Bootstrap-Anmeldedaten aus einem externen Schlüsseltresor kann dazu führen, dass der Control Room den Vorgang nicht abschließen kann, wenn der externe Schlüsseltresor während des Hochfahrens oder während der Control Room die Datenbankverbindungen aktualisiert und Nutzer mit Active Directory authentifiziert nicht verfügbar ist.
  • Stellen Sie den Control Room aus diesen Gründen wieder her:
    • Bei Änderung der Verbindungsparameter des externen Schlüsseltresors, des Dienstkontos und der sicheren und objektbezogenen Kennungen der Datenbank
    • Wenn Änderungen an den Verbindungsparametern von HashiCorp Vault zu Konnektivitätsproblemen des Control Rooms führen
    • Wenn sich die Kennungen der Anmeldedaten für Bootstrap-Passwörter ändern.

      Sie können alle Einstellungen der ersten Konfiguration korrigieren, die nicht korrekt eingestellt waren, und das System wiederherstellen.

    Anmerkung:

    Sie können SMTP- und AD-Anmeldedatenkennungen konfigurieren und bearbeiten, um Informationen des externen Schlüsseltresors aus dem Automation 360-Control Room abzurufen. Navigieren Sie hierfür zu Administration > Einstellungen > E-Mail und Administration > Einstellungen > Active Directory.

Prozedur

  1. Führen Sie das Schlüsseltresor-Dienstprogramm für den HashiCorp Vault aus.
    Anmerkung: Sie müssen das HashiCorp-Server-Zertifikat (das Zertifikat, das für den HashiCorp-Server ausgestellt wurde) in Java Truststore importieren, bevor Sie die DB-Dienstprogrammbefehle aufrufen. Das Zertifikat kann im .cer-Format (PEM) vorliegen und enthält keinen privaten Schlüssel.

    So führen Sie das Dienstprogramm für den Schlüsseltresor aus und aktualisieren die Verbindungseinstellungen für den Schlüsseltresor:

    1. Greifen Sie als Control Room-Administrator auf das Automation Anywhere Control Room-Installationsverzeichnis zu, das bei der ersten Automation 360-Installation erstellt wurde.
      Beispiel: C:\Program Files\Automation Anywhere\Enterprise
    2. Laden Sie die neueste Version des Dienstprogramms für den Schlüsseltresor herunter. Um die jar-Datei herunterzuladen, die zur Aktualisierung des Verzeichnisses verwendet wird, befolgen Sie die nachstehenden Anweisungen:
      1. Öffnen Sie einen Browser und rufen Sie die A-People-Website auf: A-People Downloads page (Login required).
      2. Klicken Sie auf den Link zum neuesten On-Premises-Build.
      3. Klicken Sie auf den Ordner Installation Setup.
      4. Laden Sie die Datei crutils.jar herunter.
      Anmerkung: Wenn die DB-Authentifizierung so konfiguriert ist, dass ein externer Schlüsseltresor verwendet wird, gibt das Dienstprogramm die folgende Ausnahme zurück: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      Das Dienstprogramm fordert den Nutzer auf, die Aktion zu bestätigen: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Geben Sie Y ein, um fortzufahren.
    4. Geben Sie Folgendes ein:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Fügen Sie diese jvm-Argumente dem Befehl hinzu, um das Dienstprogramm des Schlüsseltresors auszuführen:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Sie können eine dieser Konfigurationsaktionen aktualisieren:

      • Geben Sie UPDATE_KEY_VAULT_CONFIGURATION ein, um die Konfiguration des HashiCorp-Schlüsseltresors zu bearbeiten.
      • Geben Sie UPDATE_DB_AUTHENTICATION_CONFIGURATION ein, um zur Datenbank-Authentifizierung mit externem Schlüsseltresor zu wechseln.
  2. Wählen Sie die Aktion, die Ihrer Konfigurationsaktion entspricht:
    • Aktualisieren Sie die Konfiguration des Schlüsseltresors für HashiCorp: Wenn Sie UPDATE_KEY_VAULT_CONFIGURATION als Konfigurationsaktion eingegeben haben:
      1. Nachdem das Dienstprogramm die aktuelle Konfiguration und die Eigenschaften des Schlüsseltresors geladen hat, wird diese Eingabeaufforderung angezeigt: Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :. Geben Sie den HASHICORP ein.
      2. Geben Sie bei der Eingabeaufforderung Please enter Vault URL: Folgendes ein (Beispiel): https://services.uscentral.skytap.com:19516
      3. Geben Sie bei der Eingabeaufforderung Please enter Role Name: Folgendes ein (Beispiel): jenkins
      4. Geben Sie bei der Eingabeaufforderung Please enter Role ID: Folgendes ein (Beispiel): 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. Geben Sie bei der Eingabeaufforderung Please enter Secret ID: Folgendes ein (Beispiel): ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. Geben Sie bei der Eingabeaufforderung Please enter Namespace: Folgendes ein (Beispiel): tenant1
      Das Dienstprogramm für den Schlüsseltresor wird ausgeführt. Wenn die Konfiguration erfolgreich war (das Dienstprogramm konnte unter Verwendung der konfigurierten Parameter eine Verbindung mit dem externen Schlüsseltresor herstellen), werden diese Meldungen auf der Konsole angezeigt:
      Connection configurations valid
  Key Vault configurations successfully updated
    • Aktualisieren Sie die Datenbank-Authentifizierung für HashiCorp: Wenn Sie UPDATE_DB_AUTHENTICATION_CONFIGURATION als Konfigurationsaktion eingegeben haben:
      1. Nachdem das Dienstprogramm die aktuellen Informationen für die Konfiguration der Datenbank geladen hat, wird diese Eingabeaufforderung angezeigt:
        Database authentication configurations loaded
Currently configured database authentication [SQL]

Change database authentication. Available options:
WINDOWS: Connect to database using windows authentication
SQL: Connect to database using SQL server authentication, manually enter username and password
KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 

Enter database authentication [WINDOWS/SQL/KEY_VAULT]:

        Geben Sie den KEY_VAULT ein.

      2. Geben Sie bei der Eingabeaufforderung Please enter Secret name: Folgendes ein (Beispiel): aadbuser

      Das Dienstprogramm für den Schlüsseltresor wird ausgeführt. Wenn die Datenbankkonfiguration erfolgreich war (das Dienstprogramm konnte eine Verbindung mit HashiCorp herstellen, die angegebenen Anmeldedaten abrufen und dann die Anmeldedaten für die Verbindung mit der Datenbank verwenden), werden diese Meldungen in der Konsole angezeigt:

      Database Credentials are valid
Database authentication configurations successfully updated