Uso posterior a la instalación de Local HashiCorp Vault

Si usa la utilidad interactiva de bóveda de claves de la línea de comandos durante un tiempo de inactividad del sistema programado, debe detener todos los servicios de Control Room que estén en ejecución. Se recomienda coordinar con el equipo administrativo de HashiCorp cualquier cambio en la configuración de la bóveda de claves que pueda impactar en los parámetros de conectividad (como el ID de la aplicación, la dirección URL de la bóveda, los números de puerto y el certificado) durante los períodos de inactividad.

Antes de empezar

Nota: Si usa la utilidad de bóveda de claves para inhabilitar la integración de HashiCorp Vault, primero debe desasignar cualquier credencial asignada que esté en uso.

Con el método posinstalación, puede realizar estas acciones:

  • Modificar o configurar los parámetros de conexión de la bóveda de claves externa.
  • (Si no se ha configurado durante la instalación inicial) Modificar o configurar la credencial de la cuenta de servicio (contraseña de administrador de Active Directory).
  • (Si no se ha configurado durante la instalación inicial) Modificar o configurar el identificador de credenciales de la base de datos (de arranque) (recuperado cuando se autenticó la base de datos).
    Nota: La recuperación de las credenciales de arranque de una bóveda externa de claves podría hacer que la Control Room falle si no se puede acceder a la bóveda externa de claves durante el arranque o cuando la Control Room actualiza las conexiones de la base de datos y autentica a los usuarios con Active Directory.
  • Recuperar la Control Room por los siguientes motivos:
    • Si se modifican los parámetros de conexión de la bóveda de claves externa, la cuenta de servicio y los identificadores de objetos y credenciales de la base de datos.
    • Si los cambios en los parámetros de conexión de HashiCorp Vault hacen que la Control Room experimente problemas de conectividad.
    • Si se cambian los identificadores de credenciales para las contraseñas de arranque.

      Puede actualizar cualquier ajuste de configuración inicial que no se haya establecido correctamente y recuperar el sistema.

    Nota:

    Puede configurar y editar los identificadores de credenciales SMTP y AD para recuperar la información de la bóveda externa de claves desde la Control Room de Automation 360. Para ello, vaya a Administración > Configuración > Correo electrónico. y Administración > Configuración > Active Directory.

Procedimiento

  1. Ejecute la utilidad de bóveda de claves para HashiCorp Vault.
    Nota: Debe importar el certificado del servidor HashiCorp (el certificado emitido para el servidor HashiCorp) al almacén de confianza de Java antes de invocar los comandos de la utilidad dB. El certificado puede estar en formato .cer (PEM) y no contiene una clave privada.

    Para ejecutar la utilidad de bóveda de claves y actualizar la configuración de la conexión de la bóveda de claves:

    1. Como administrador de Control Room, acceda al directorio de instalación de Automation Anywhere Control Room que se creó durante la instalación inicial de Automation 360.
      Por ejemplo: C:\Program Files\Automation Anywhere\Enterprise
    2. Descargue la versión más reciente de la utilidad de bóveda de claves. A fin de descargar el archivo jar que se usó para actualizar el directorio, use las siguientes instrucciones:
      1. Abra un navegador y acceda al sitio A-People: A-People Downloads page (Login required).
      2. Haga clic en el vínculo al archivo de versión de Local más reciente.
      3. Haga clic en la carpeta Configuración de la instalación.
      4. Descargue el archivo crutils.jar.
      Nota: Si la autenticación de la base de datos está configurada para usar una bóveda externa de claves, la utilidad devuelve la siguiente excepción: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      La utilidad solicita al usuario que confirme la acción: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Ingrese Y para continuar.
    4. Ingrese los siguientes datos:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Agregue estos argumentos jvm al comando para ejecutar la utilidad de bóveda de claves:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Puede actualizar cualquiera de estas acciones de configuración:

      • Ingrese UPDATE_KEY_VAULT_CONFIGURATION para editar la configuración de la bóveda de claves de HashiCorp.
      • Ingrese UPDATE_DB_AUTHENTICATION_CONFIGURATION para cambiar a la autenticación de la base de datos mediante la bóveda externa de claves.
  2. Según la acción de configuración que haya usado, seleccione la acción adecuada:
    • Actualizar la configuración de la bóveda de claves para HashiCorp: Si ha ingresado UPDATE_KEY_VAULT_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la configuración y las propiedades actuales de la bóveda de claves, se mostrará este mensaje: Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :. Escribir HASHICORP
      2. En la indicación del sistema Please enter Vault URL:, ingrese (por ejemplo): https://services.uscentral.skytap.com:19516
      3. En la indicación del sistema Please enter Role Name:, ingrese (por ejemplo): jenkins
      4. En la indicación del sistema Please enter Role ID:, ingrese (por ejemplo): 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. En la indicación del sistema Please enter Secret ID:, ingrese (por ejemplo): ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. En la indicación del sistema Please enter Namespace:, ingrese (por ejemplo): tenant1
      La utilidad de bóveda de claves se ejecuta. Si la configuración fue exitosa (la utilidad pudo conectarse a la bóveda externa de claves con los parámetros configurados), aparecen los siguientes mensajes en la consola:
      Connection configurations valid
        Key Vault configurations successfully updated
    • Actualizar la autenticación de la base de datos para HashiCorp: Si ha ingresado UPDATE_DB_AUTHENTICATION_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la información de configuración de la base de datos actual, aparecerá este mensaje:
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Escribir KEY_VAULT

      2. En la indicación del sistema Please enter Secret name:, ingrese (por ejemplo): aadbuser

      La utilidad de bóveda de claves se ejecuta. Si la configuración de la base de datos fue exitosa (la utilidad pudo conectarse a HashiCorp, recuperar la credencial designada y, luego, usar la credencial para conectarse a la base de datos), los siguientes mensajes aparecerán en la consola:

      Database Credentials are valid
      Database authentication configurations successfully updated