使用 CyberArk 密码保管库进行安装后 On-Premises

计划的系统停机期间使用命令行交互式密钥保管库工具,必须停止所有正在运行的 Control Room 服务。 您应在停机期间与 CyberArk 管理团队协调任何可能改变连接参数(例如 App ID、保管库 URL、端口号和证书)的密钥保管库配置更改。

先决条件

注: 如果您使用密钥保管库实用工具来禁用 CyberArk 密码保管库集成,必须首先取消映射任何正在使用的映射凭据。

使用安装后方法,您可以执行以下操作:

  • 修改或配置外部密钥保管库连接参数。
  • (如果在初始安装期间未配置)修改或配置服务账户凭据(Active Directory 管理员密码)。
  • (如果在初始安装期间未配置)修改或配置数据库(引导)凭据标识符(在验证数据库时检索)。
    注: 如果在启动期间无法访问外部密钥保管库,或者当 Control Room 刷新数据库连接并使用 Active Directory 验证用户时无法访问外部密钥保管库,从外部密钥保管库检索引导凭据可能会导致 Control Room 失败。
  • 出于以下原因恢复 Control Room
    • 通过修改外部密钥保管库连接参数、服务账户、数据库凭据存储柜以及对象标识符。
    • 如果 CyberArk 密码保管库连接参数的更改导致 Control Room 遇到连接问题。
    • 当引导密码的凭据标识符发生变化时。

      您可以解决任何未正确设置的初始配置设置,并恢复系统。

    注: 确保添加不包含空格的 HTTPS 标头,否则您将无法使用 CRUtil 集成 CyberArk。

    示例

    • 正确: HTTP-Strict-Transport-Security
    • 不正确: HTTP Strict Transport Security

您可以通过导航到管理 > 设置 > Active Directory,配置和编辑 SMTP 和 AD 凭据标识符,以从 Automation 360 Control Room 中的外部密钥保管库中检索信息。

过程

  1. 运行 CyberArk 密码保管库的密钥保管库实用工具
    注: 在调用 dB 实用工具命令之前,您必须将 CyberArk 服务器证书(颁发给 CyberArk 服务器的证书)导入 Java 的信任存储库。 证书可以是 .cer (PEM) 格式,并且不包含私钥。

    要运行密钥保管库实用工具并更新密钥保管库连接设置:

    1. 作为 Control Room 管理员,访问在初始 Automation 360 安装期间创建的 Automation Anywhere Control Room 安装目录。
      例如: C:\Program Files\Automation Anywhere\Automation360
    2. 下载最新版本的密钥保管库实用工具。 要下载用于更新目录的 jar 文件,请按照以下说明进行操作:
      1. 打开浏览器并访问 A-People 网站:A-People Downloads page (Login required)
      2. 单击最新 On-Premises 内部版本的链接。
      3. 单击 Installation Setup 文件夹。
      4. 下载 crutils.jar 文件。
      注: 如果数据库身份验证配置为使用外部密钥保管库,该实用工具将返回以下异常: 数据库当前配置为从密钥保管库中检索凭据。 更新数据库身份验证为 WINDOWS/SQL 以继续并退出。
      实用工具请求用户确认该操作: 禁用/更新密钥保管库可能会改变使用密钥保管库的功能(例如,Active Directory 配置、电子邮件设置配置)。 请确保更新这些设置(如果有)。 您确定要继续吗?
    3. 输入 Y 以继续。
    4. 输入以下内容:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. 将这些 jvm 参数添加到命令中以运行密钥保管库实用工具:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      您可以更新以下任一配置操作:

      • 输入 UPDATE_KEY_VAULT_CONFIGURATION 编辑 CyberArk 密钥保管库配置。
      • 输入 UPDATE_DB_AUTHENTICATION_CONFIGURATION,更改为使用外部密钥保管库的数据库身份验证。
  2. 根据您使用的配置操作,选择适当的操作:
    • 更新 CyberArk 的密钥保管库配置: 如果您输入 UPDATE_KEY_VAULT_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前密钥保管库配置和属性后,会显示以下提示: 输入密钥保管库 [AWS/CYBERARK/AZURE/NONE] :,输入 CYBERARK
      2. 请输入保管库 URL:提示符下输入(例如):https://services.uscentral.skytap.com:19516
      3. 请输入应用程序 ID:提示符下输入(例如): AAEControlRoom
      4. 请输入证书路径:提示符下输入(例如): C:\\Users\\Admin\\Downloads\\client_combined_cert_key_Adminat1234.p12
        注: 颁发给 Control Room 用于对 CyberArk 进行身份验证的客户端证书必须采用 .p12 (pkcs#12) 格式并带有私钥。
      5. 密码短语不会在控制台上显示 密码短语:提示符中,输入您的密码短语。
      密钥库工具正在运行。 如果配置成功(该实用工具能够使用配置的参数连接到外部密钥保管库),这些消息将显示在控制台上:
      连接配置有效,密钥保管库配置已成功更新
    • 更新 CyberArk 的数据库身份验证: 如果您输入了 UPDATE_DB_AUTHENTICATION_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前数据库配置信息后,会显示以下提示:
        数据库身份验证配置已加载 当前配置的数据库身份验证 [SQL] 更改数据库身份验证。 可用选项: WINDOWS: 使用 Windows 身份验证 SQL 连接到数据库: 使用 SQL 服务器身份验证连接到数据库,手动输入用户名和密码 KEY_VAULT: 使用 SQL 服务器身份验证连接到数据库,从外部密钥保管库中检索用户名和密码 输入数据库身份验证 [WINDOWS/SQL/KEY_VAULT]:

        输入 KEY_VAULT

      2. 请输入存储柜名称:提示符下输入(例如):aa_vb_safe
      3. 请输入对象名称:提示符下输入(例如): Database-MSSql-administrator-admin

      密钥保管库实用工具正在运行。 如果数据库配置成功(该实用工具能够连接到 CyberArk,检索指定的凭据,然后使用该凭据连接到数据库),这些消息将显示在控制台上:

      数据库凭据有效 数据库身份验证配置已成功更新