Das CAPKI-Paket bietet Funktionen, die für Informationssicherheitsdienste erforderlich sind, wie beispielsweise die TLS-Implementierung des ServiceManagers.
Dieses Thema beinhaltet Folgendes:
Übersicht
Der Automation Engine verwendet CAPKI, um sichere Verbindungen auf Basis von TLS 1.2 zwischen dem ServiceManager und seinen Clients, dem ServiceManager Dialogprogramm, der ServiceManager Kommandozeilenprogramm und dem Automation Engine selbst herzustellen.
CAPKI ist für Windows- und Unix-Plattformen verfügbar und kann von https://downloads.automic.com/ heruntergeladen werden.
Anforderungen und Empfehlungen
Bei der Installation einer neuen Version oder dem Upgrade Ihres Systems und der Verwendung von CAPKI müssen Sie eine Reihe von Aspekten berücksichtigen.
Neue Installationen
Sie müssen CAPKI auf allen Computern installieren, auf denen eine der folgenden Komponenten läuft:
Es wird dringend empfohlen, die folgenden Upgrade-Schritte in der Reihenfolge durchzuführen, wie sie hier aufgeführt sind:
-
Führen Sie CAPKI auf allen Computern aus, auf denen entweder der ServiceManager Service, das ServiceManager Dialogprogramm, das ServiceManager CLI Programm oder irgendwelche Automation Engine-Prozesse ausgeführt werden.
-
Aktualisieren Sie das Automation Engine entweder manuell oder mit Hilfe des Zero Downtime Upgrade.
-
Aktualisieren Sie alle ServiceManager-Dialogprogramme und alle ServiceManager CLI-Programme.
-
Aktualisieren Sie alle ServiceManager. Wenn Sie von Version 12.1 oder höher upgraden, können Sie die Option CAU - Upgrade-Verfahren verwenden.
-
Setzen Sie den Parameter SMGR_SUPPORT_LEGACY_SECURITY von Y bis N unter UC_SYSTEM_SETTINGS - Systemweite Einstellungen
Wichtig! Der Automation Engine akzeptiert keine Kommunikation mit älteren ServiceManagern mehr, nachdem dieser Parameter auf N gesetzt wurde.
Die Einhaltung dieser Reihenfolge garantiert einen reibungslosen Upgrade-Prozess. Die neuen Komponenten ServiceManager Dialog und CLI sowie die Kommunikationsprozesse des können Automation Engine können noch mit einem älteren ServiceManager kommunizieren, aber nicht umgekehrt. Daher ist es wichtig, zuerst das Automation Engine, das ServiceManager Dialogprogramm und das CLI-Programm und dann den ServiceManager zu aktualisieren.
Hinweis: Das neue ServiceManager Dialogprogramm verfügt über eine Anzeige, die darüber informiert, ob es mit einem sicheren oder einem älteren (unsicheren) ServiceManager verbunden ist.
CAPKI Installation
Das CAPKI-Package, das von https://downloads.automic.com/ heruntergeladen wird, bietet ein Silent Installer-Setup für Windows und alle unterstützten Unix-Plattformen. Es muss entweder manuell oder mit Ihrem bevorzugten Software-Verteilungstool eingeführt werden.
Wichtig! Es wird dringend empfohlen, CAPKI vor der Installation oder Aktualisierung der Komponenten der Automation Engine einzuführen. Wenn CAPKI aus irgendeinem Grund nach der Installation oder dem Upgrade installiert werden muss, müssen Sie es neu starten.
Installer verwenden
setup[.exe] <install|remove|discover> caller=<CallerID> [options...]
Parameter
-
CallerID Verwenden Sie die Version Ihrer Automation Engine mit dem Format AE<major><minor>. Zum Beispiel AE122 für AE 12.2.
-
Optionen
-
verbose: Ermöglicht Diagnoseausgabe
-
veryverbose: Ermöglicht detaillierte Diagnoseausgabe
-
discover: Wird als letzter Optionsparameter oder mit den Aktionen Install oder Remove verwendet.
Mit diesem Befehl wird jede auf dem System vorhandene CAPKI-Installation ermittelt. Unter Windows protokolliert es Informationen in der Datei %TEMP%/CAPKI_install.log. Unter UNIX protokolliert es Informationen in der Datei /tmp/CAPKI_install.log und druckt die Informationen auf die Konsole.
-
env=<none|user|all> (UNIX): Ermöglicht das Setzen von Umgebungsvariablen für einen bestimmten Benutzer.
Erlaubte Werte:
none: (default) setzt keine Umgebungsvariablen
user: nur aktueller Benutzer ($HOME/.profile)
all: alle Benutzer (Login muss root sein)
-
Rückgabecodes eingeben
Mögliche Rückgabewerte sind:
-
0 Erfolgreich
-
1 (Windows) Erfolgreich - Neustart erforderlich, um temporäre Dateien zu bereinigen
-
2 (Windows) Erfolgreich - Neustart erforderlich, um die Installation abzuschließen (*)
-
3 Fehler (Details werden in die Log-Datei geschrieben)
(*) CAPKI steht möglicherweise erst nach dem Neustart zur Verfügung.
Logging und Diagnose
Die Installationsprotokolldatei capki_install.log wird bei der Installation erstellt und enthält Fehler-, Warn- und Informationsmeldungen. Auf UNIX-Systemen befindet es sich im Verzeichnis /tmp und auf Windows-Systemen im Verzeichnis %TEMP%.
Hinweise:
-
Wenn CAPKI nicht (korrekt) auf einem Computer installiert ist, auf dem ein neuer ServiceManager installiert ist, verhält sich der ServiceManager wie ein alter (unsichere Kommunikation).
-
Wenn CAPKI nicht (korrekt) auf einem Computer installiert ist, auf dem ein neues ServiceManager Dialogprogramm oder CLI-Programm installiert ist, kann sich der Mandant im Legacy-Modus, aber nicht im sicheren Modus mit einem neuen ServiceManager verbinden.
Konfiguration der CAPKI-Umgebung (UNIX)
Um die CAPKI-Umgebung korrekt zu konfigurieren, müssen Sie die Umgebungsvariable CAPKIHOME definieren und auf das CAPKI-Installationsverzeichnis verweisen. Dies ist für alle ServiceManager-Mandanten erforderlich, die für UNIX-Installationen verfügbar sind: der ServiceManager - Service, der ServiceManager - Kommandozeilenprogramm (CLI) und die Automation EngineProzesse.
Beispiel (Linux 64bit Installation)
export CAPKIHOME=/opt/CA/SharedComponents/CAPKI
Zertifikatsverwaltung
Beim Start erstellen die Automation Engine und der ServiceManager automatisch eigene Zertifikate und Schlüsseldateien und schreiben die Pfadinformationen in den Abschnitt [CAPKI] ihrer Konfigurationsdateien (.INI).
Zum Beispiel unter Windows:
[CAPKI]
certificate=C:\Automic\Automation.Platform\AutomationEngine\bin\ucsrv_certificate.pem
key=C:\Automic\Automation.Platform\AutomationEngine\bin\ucsrv_key.pem
;chain=
cert_trusted_folder=.\trusted
Wichtig! Es wird dringend empfohlen, die automatisch generierten Zertifikate durch Zertifikate einer Zertifizierungsstelle (CA) zu ersetzen. Sie müssen den Pfad zu Ihrem eigenen Zertifikat und Ihrer eigenen Schlüsseldatei in der entsprechenden Konfigurationsdatei (.INI) definieren.
Automation Engine, ServiceManager Service, ServiceManager Dialogprogramm und ServiceManager CLI validieren standardmäßig kein Zertifikat. Das bedeutet, dass standardmäßig alle Zertifikate vertrauenswürdig sind. Der ServiceManager, der ServiceManager Dialog und die CLI können eigene Zertifikatsspeicher verwalten, die alle vertrauenswürdigen Zertifikate enthalten.
Um die Zertifikatsvalidierung für die oben genannten Komponenten zu aktivieren, müssen Sie einen Ordner erstellen, der alle Zertifikate enthält, die die Komponente als vertrauenswürdig betrachten sollte. Der Standardpfad für diesen Ordner ist in der INI-Datei der Komponente definiert: cert_trusted_folder=.\trusted.
Beispielsweise hat Automation Engine A ein Zertifikat in seinem vertrauenswürdigen Speicher, während Automation Engine B dies nicht hat. Wenn beide versuchen, einen Agenten aus der Perspektive Perspektive „Administration“ zu starten, ist Automation Engine A erfolgreich, während Automation Engine B eine Meldung erhält, dass die Verbindung zum ServiceManager aufgrund eines Zertifikatsvalidierungsfehlers nicht möglich war.
Wichtig! Wenn sich der ServiceManager und einer seiner Mandanten (z. B. das CLI-Programm) im gleichen Bin-Ordner befinden, müssen Sie die beiden vertrauenswürdigen Ordner trennen. Dazu erstellen Sie einen zweiten Ordner und ändern den Parameter in der INI-Datei des ServiceManagers. Zum Beispiel cert_trusted_folder=.\sm_trusted.
Wenn mindestens ein Zertifikat (PEM-Format) im definierten Ordner gespeichert ist, überprüft die Komponente beim Verbindungsaufbau die Vertrauenswürdigkeit des Zertifikats. Einem Zertifikat wird vertraut, wenn das Zertifikat selbst oder die Zertifizierungsstelle (CA), die das Zertifikat signiert hat, vorhanden ist. Andernfalls gilt das Zertifikat nicht als vertrauenswürdig und die Verbindung wird beendet.