本地部署 使用 HashiCorp Vault 进行安装后操作

计划的系统停机期间使用命令行交互式密钥保管库实用工具,必须停止所有正在运行的 Control Room 服务。 您应在停机期间与 HashiCorp 管理团队协调,以便进行可能影响连接参数(例如应用程序 ID、保管库 URL、端口号和证书)的任何密钥保管库配置更改。

先决条件

注: 如果您使用密钥保管库实用工具禁用 HashiCorp Vault 集成,则必须首先取消映射正在使用的任何已映射凭据。

使用安装后方法,您可以执行以下操作:

  • 修改或配置外部密钥保管库连接参数。
  • (如果在初始安装期间未配置)修改或配置服务账户凭据(Active Directory 管理员密码)。
  • (如果在初始安装期间未配置)修改或配置数据库(引导)凭据标识符(在验证数据库时检索)。
    注: 如果在启动期间无法访问外部密钥保管库,或者当 Control Room 刷新数据库连接并使用 Active Directory 验证用户时无法访问外部密钥保管库,从外部密钥保管库检索引导凭据可能会导致 Control Room 失败。
  • 出于以下原因恢复 Control Room
    • 如果外部密钥保管库连接参数、服务账户和数据库凭据安全以及对象标识符被修改。
    • 如果 HashiCorp Vault 连接参数的更改导致 Control Room 出现连接问题。
    • 如果引导密码的凭据标识符发生了变化。

      您可以更新任何未正确设置的初始配置设置并恢复系统。

    注:

    您可以通过 Automation 360 Control Room 导航到管理 > 设置 > 电子邮件管理 > 设置 > Active Directory 来配置和编辑 SMTP 和 AD 凭据标识符,以从外部密钥保管库中检索信息。

过程

  1. 运行 HashiCorp Vault 的密钥保管库实用工具。
    注: 在调用 dB 实用工具命令之前,必须将 HashiCorp 服务器证书(发布给 HashiCorp 服务器的证书)导入 Java 的信任存储库。 证书可以是 .cer (PEM) 格式,并且不包含私钥。

    要运行密钥保管库实用工具并更新密钥保管库连接设置:

    1. 作为 Control Room 管理员,访问在初始 Automation 360 安装期间创建的 Automation Anywhere Control Room 安装目录。
      例如: C:\Program Files\Automation Anywhere\Enterprise
    2. 下载最新版本的密钥保管库实用工具。 要下载用于更新目录的 jar 文件,请按照以下说明进行操作:
      1. 打开浏览器并访问 A-People 网站:A-People Downloads page (Login required)
      2. 单击最新 本地部署 内部版本的链接。
      3. 单击 Installation Setup 文件夹。
      4. 下载 crutils.jar 文件。
      注: 如果数据库身份验证配置为使用外部密钥保管库,该实用工具将返回以下异常: 数据库当前配置为从密钥保管库中检索凭据。 更新数据库身份验证为 WINDOWS/SQL 以继续并退出。
      实用工具请求用户确认该操作: 禁用/更新密钥保管库可能会改变使用密钥保管库的功能(例如,Active Directory 配置、电子邮件设置配置)。 请确保更新这些设置(如果有)。 您确定要继续吗?
    3. 输入 Y 以继续。
    4. 输入以下内容:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. 将这些 jvm 参数添加到命令中以运行密钥保管库实用工具:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      您可以更新以下任一配置操作:

      • 输入 UPDATE_KEY_VAULT_CONFIGURATION,编辑 HashiCorp 密钥保管库配置。
      • 输入 UPDATE_DB_AUTHENTICATION_CONFIGURATION,更改为使用外部密钥保管库的数据库身份验证。
  2. 根据您使用的配置操作,选择适当的操作:
    • 更新 HashiCorp 的密钥保管库配置: 如果您输入 UPDATE_KEY_VAULT_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前密钥保管库配置和属性后,将显示以下提示: 输入密钥保管库 [AWS/CYBERARK/AZURE/HASHICORP/NONE] :。 输入 HASHICORP
      2. 请输入保管库 URL:提示符下输入(例如):https://services.uscentral.skytap.com:19516
      3. 请输入角色名称:提示符下输入(例如):jenkins
      4. 请输入角色 ID:提示符下输入(例如): 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. 请输入密钥 ID:提示符下,输入(例如):ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. 请输入命名空间:提示符下输入(例如):tenant1
      密钥库工具正在运行。 如果配置成功(该实用工具能够使用配置的参数连接到外部密钥保管库),这些消息将显示在控制台上:
      连接配置有效,密钥保管库配置已成功更新
    • 更新 HashiCorp 的数据库身份验证: 如果您输入了 UPDATE_DB_AUTHENTICATION_CONFIGURATION 作为配置操作:
      1. 在实用工具加载当前数据库配置信息后,会显示以下提示:
        数据库身份验证配置已加载 当前配置的数据库身份验证 [SQL] 更改数据库身份验证。 可用选项: WINDOWS: 使用 Windows 身份验证 SQL 连接到数据库: 使用 SQL 服务器身份验证连接到数据库,手动输入用户名和密码 KEY_VAULT: 使用 SQL 服务器身份验证连接到数据库,从外部密钥保管库中检索用户名和密码 输入数据库身份验证 [WINDOWS/SQL/KEY_VAULT]:

        输入 KEY_VAULT

      2. 请输入密钥名称:提示符下输入(例如):aadbuser

      密钥库工具正在运行。 如果数据库配置成功(该实用工具能够连接到 HashiCorp,检索指定的凭据,然后使用该凭据连接到数据库),这些消息将显示在控制台上:

      数据库凭据有效 数据库身份验证配置已成功更新