Solução de cofres de chaves externos
- Atualizado: 2023/06/19
Solução de cofres de chaves externos
Você pode usar o arquivo keyvault.properties e arquivos de registro de aplicação para revisar informações de configuração e integração de cofres chave externos.
Utilize o arquivo keyvault.properties
Você pode usar o arquivo keyvault.properties para revisar os atributos de configuração destes cofres chave externos:
- CyberArk Password Vault
- Gerenciador de segredos AWS
- Cofre de chaves Azure
- Cofre da HashiCorp
O seguinte arquivo keyvault.properties mostra um exemplo com o Cofre de senhas CyberArk:
Para rever o arquivo do gerente de segredos da AWS keyvault.properties digite estes atributos AWS (por exemplo):
- keyvault.type=AWS_SECRETS_MANAGER
- keyvault.aws.region=us-west-2
- O atributo de senha do certificado contém a senha do arquivo de certificado Control Room criptografado. Não modifique diretamente o atributo da senha do certificado; em vez disso, você deve usar o utilitário chave do cofre.
- Você pode modificar o arquivo keyvault.properties. Entretanto, quaisquer modificações exigirão um reinício do serviço. Portanto, recomendamos que você sempre use o utilitário chave do cofre para fazer modificações.
Para Cofre da HashiCorp, os servidores do Vault são configurados usando um arquivo que está em HashiCorp linguagem de configuração (HCL) ou formato JSON. Para obter informações sobre como usar o arquivo, consulte Configuração do Vault.
Utilize os arquivos de log de aplicação
Você pode usar estes arquivos de log de aplicação para revisar informações de integração de chaves externas no cofre:
- WebCR_CredentialVaultlog
- WebCR_RestException
Você pode usar estas mensagens de registro para solucionar problemas de integração de chaves externas ou problemas de configuração:
| Descrição da mensagem de registro | Causa ou razão |
|---|---|
| Não é possível enviar um e-mail Não é possível conectar ao servidor do SMTP porque a senha ou o nome de usuário do SMTP está incorreto |
A credencial SMTP recuperada está incorreta. |
| Os logs indicam falha na conexão com o LDAP | Falha em autenticar através do Active Directory. |
| O arquivo WebCR.log mostra erro de conectividade do banco de dados, e o arquivo Control Room não inicializa corretamente | A senha do banco de dados recuperada está incorreta. |
| Seu nome de usuário ou sua senha está incorreta | A credencial de login automático recuperada está incorreta para o usuário (corresponde ao log de implantação do bot para o ID do usuário). |
| Os logs indicam falha na conexão ao CyberArk | Existe um possível problema de expiração do certificado se ocorrer uma falha após um período de funcionamento adequado por (3, 6 ou 12) meses. |
| Não é possível recuperar o segredo e a exceção de detalhes terá causa | Um identificador de credencial inexistente (nome seguro, nome do objeto ou nome secreto) está em uso. Também pode indicar que o identificador de credencial foi removido do cofre de chaves externo (se estava funcionando corretamente anteriormente). |
| Também pode indicar que a conexão do cofre de chaves está inativa ou inacessível. Ou os detalhes da conexão (URL da API, AppID, certificado, nome da região, chaves da AWS) estão incorretos, foram alterados no cofre de chaves ou expiraram. |