计划的系统停机期间使用命令行交互式密钥保管库实用工具,必须停止所有正在运行的 Control Room 服务。 您应该与 Azure 管理团队协调停机期间可能改变连接参数(例如 AZURE_CLIENT_IDAZURE_CLIENT_SECRETAZURE_TENANT_ID)的任何密钥保管库配置更改。

先决条件

注: 如果使用密钥保管库实用程序禁用 Azure Key Vault 集成,则必须首先取消映射正在使用的任何映射凭据。

使用安装后方法,您可以执行以下操作:

  • 修改或配置外部密钥保管库连接参数。
  • (如果在初始安装期间未配置)修改或配置服务账户凭据(Active Directory 管理员密码)。
  • (如果在初始安装期间未配置)修改或配置数据库(引导)凭据标识符(在验证数据库时检索)。
    注: 如果在启动期间无法访问外部密钥保管库,或者当 Control Room 刷新数据库连接并使用 Active Directory 验证用户时无法访问外部密钥保管库,从外部密钥保管库检索引导凭据可能会导致 Control Room 失败。
  • 出于以下原因恢复 Control Room
    • 通过修改外部密钥保管库连接参数、服务账户、数据库凭据存储柜以及对象标识符。
    • 如果 Azure Key Vault 连接参数的更改导致 Control Room 遇到连接问题。
    • 当引导密码的凭据标识符发生变化时。

      您可以解决任何未正确设置的初始配置设置,并恢复系统。

您可以通过导航到管理 > 设置 > Active Directory,配置和编辑 SMTP 和 AD 凭据标识符,以从 Automation 360 Control Room 中的外部密钥保管库中检索信息。

过程

  1. 运行 Azure Key Vault 的密钥保管库实用程序: 要运行密钥保管库实用工具并更新密钥保管库连接设置:
    1. 作为 Control Room 管理员,访问在初始 Automation 360 安装期间创建的 Automation Anywhere Control Room 安装目录。
      例如: C:\Program Files\Automation Anywhere\Automation360
    2. 下载最新版本的密钥保管库实用工具。 要下载用于更新目录的 jar 文件,请按照以下说明进行操作:
      1. 打开浏览器并访问 A-People 网站:A-People Downloads page (Login required)
      2. 单击最新 On-Premises 内部版本的链接。
      3. 单击 Installation Setup 文件夹。
      4. 下载 crutils.jar 文件。
      注: 如果数据库身份验证配置为使用外部密钥保管库,该实用工具将返回以下异常: 数据库当前配置为从密钥保管库中检索凭据。 更新数据库身份验证为 WINDOWS/SQL 以继续并退出。
      实用工具请求用户确认该操作: 禁用/更新密钥保管库可能会改变使用密钥保管库的功能(例如,Active Directory 配置、电子邮件设置配置)。 请确保更新这些设置(如果有)。 您确定要继续吗?
    3. 输入 Y 以继续。
    4. 输入以下内容:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
      注: 在从网页浏览器打开 https://user-db-vault.vault.azure.net/ URL 后,您可以导出此证书。 证书必须为 .pem.cer 格式。
    5. 将这些 jvm 参数添加到命令中以运行密钥保管库实用工具:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      您可以更新以下任一配置操作:

      • 输入 UPDATE_KEY_VAULT_CONFIGURATION 以编辑 Azure Key Vault 配置。
      • 输入 UPDATE_DB_AUTHENTICATION_CONFIGURATION 以更改为使用外部密钥库的数据库身份验证。
      注: 如果您希望从密钥库更新数据库凭据,请首先输入 UPDATE_KEY_VAULT_CONFIGURATION,然后输入 UPDATE_DB_AUTHENTICATION_CONFIGURATION
  2. 根据您使用的配置操作,选择适当的操作:
    • 更新 Azure 的密钥库配置: 如果您输入了 UPDATE_KEY_VAULT_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前密钥保管库配置和属性后,会显示以下提示: 输入密钥库 [AWS/CYBERARK/AZURE/NONE] :,输入 AZURE
      2. 出现请输入 Vault URL:提示时输入(例如):https://user-db-vault.vault.azure.net/
      密钥库实用工具正在运行。 如果配置成功(该实用工具能够使用配置的参数连接到外部密钥库),这些消息将显示在控制台上:
      连接配置有效,密钥保管库配置已成功更新
    • 更新 Azure 的数据库身份验证: 如果您输入了 UPDATE_DB_AUTHENTICATION_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前数据库配置信息后,会显示以下提示:
        数据库身份验证配置已加载 当前配置的数据库身份验证 [SQL] 更改数据库身份验证。 可用选项: WINDOWS: 使用 Windows 身份验证 SQL 连接到数据库: 使用 SQL 服务器身份验证连接到数据库,手动输入用户名和密码 KEY_VAULT: 使用 SQL 服务器身份验证连接到数据库,从外部密钥保管库中检索用户名和密码 输入数据库身份验证 [WINDOWS/SQL/KEY_VAULT]:

        输入 KEY_VAULT

      2. 出现请输入密码名称:提示时输入(例如):testDB

      密钥库实用工具正在运行。 如果数据库配置成功(该实用工具能够连接到 Azure,检索指定的凭据,然后使用该凭据连接到数据库),这些消息将显示在控制台上:

      数据库凭据有效 数据库身份验证配置已成功更新

      在群集设置中的所有三个节点上运行密钥保管库实用工具。