Споделяне чрез

Подновяване на сертификат за група машини за администратори

Първата машина, която се присъединява към група машини, издава самоподписан сертификат, използван за: Power Automate...

  • Шифроване на идентификационни данни за Windows във връзките на десктоп flow.
  • Идентифицирайте машините с Power Automate.

Този сертификат е защитен с парола, известна само на клиента.

Какво се случва по време на подновяването на сертификата на машинната група?

Времева диаграма за изтичане на текущия сертификат

Подновяването на сертификата на машинната група започва по подразбиране шест месеца преди изтичането на текущия сертификат и завършва, когато текущият сертификат изтече. Подновяването на сертификата на групата машини няма да повлияе на способността на вашата група машини да изпълнява потоци, тъй като е бързо, случва се между изпълненията и поддържа машини както с текущия, така и с новия сертификат по време на подновяването. През това време:

  • Първата машина от групата, която се свърже с Power Automate , ще издаде нов сертификат, защитен с парола.

  • Следващите машини от групата, които се свържат с Power Automate , ще актуализират сертификата си с новия. Тази стъпка може да се случи, дори ако другите машини (дори първата) са офлайн.

  • Машините с новия сертификат все още могат да бъдат успешно насочени от връзки към десктоп flow, които криптират идентификационните данни с текущия сертификат.

  • Връзките към десктоп поток, насочени към машината или групата машини, ще се актуализират автоматично, след като бъдат използвани в облачен поток за изпълнение на десктоп поток.

Колко често се извършва подновяване на сертификата?

По подразбиране сертификатите за машинни групи изтичат веднъж на всеки пет години. Подновяването се извършва през последните шест месеца преди изтичането му. За да видите информация как да персонализирате това поведение, отидете на Как да персонализирате сроковете на валидност и подновяване на сертификата?.

Ами ако машините са пропуснали подновяването на сертификата на групата машини (офлайн, остаряла версия на Power Automated за настолни компютри и др.)?

Ако поне една машина от групата е актуализирана до най-новия сертификат, другите машини, които са пропуснали периода на подновяване, ще могат да се присъединят отново към групата. Първо, генерирайте отново паролата за групата машини на машината, която е актуализирана. След това, на другите машини, отворете приложението machine runtime, изберете „re-join“ и въведете новата парола за групата машини. Power Automate

Ако всички машини от дадена група машини са пропуснали подновяването на сертификата, не можете да използвате тази група машини. Трябва да го изтриете, да създадете нова група машини и да се присъедините към нея. За да намерите информация относно идентифицирането на машини, които са пропуснали подновяването на груповия сертификат, посетете Как да разберете дали дадена машина е актуализирана с нов сертификат или не?.

Какво да се направи, ако връзките за десктоп flow не се използват по време на подновяването на сертификата за група машини?

Ако връзката за десктоп flow не се използва по време на подновяването на сертификата на групата машини, ще получите грешки, когато се опитате да я използвате. ExpiredDesktopFlowConnection Поправете връзката, като:

  • Отидете на портала. Power Automate
  • Отидете до Данни>Връзка.
  • Намерете изтеклата връзка, изберете я, изберете Редактиране и въведете отново необходимата информация.

Ами ако се очаква някои машини да останат офлайн или неизползвани в продължение на няколко месеца?

Ще трябва да включите тези машини онлайн и да изпълните потоци на тях по време на периода за подновяване на сертификата.

  1. Намерете машини, които трябва да бъдат актуализирани за настолни компютри. Power Automate

    Вашите машини трябва да са оборудвани с версия 2.23 или по-нова. Power Automate Можете да проверите версията на вашата машина, като използвате колоната Версия на агента в таблицата Машина на потока в Dataverse.

  2. Намерете периода на подновяване за всяка машина.

    Можете да определите периода на подновяване за машините от дадена група, като направите заявка към колоните Дата на създаване на ключ и Гратисен период на изтичане на групов ключ в таблицата Група машини на потока в Dataverse. Времевата рамка между Данните за създаване и Дата на създаване + Гратисния период е, когато всяка машина от групата трябва да се свърже онлайн и да изтегли най-новата защита на групата.

  3. Получавайте напомняния да включите машините онлайн по време на периода на подновяване.

    Можете да получавате известия за актуализации на сигурността на машината чрез облачен поток и следния Dataverse тригер:

    Този спусък ще се задейства всеки път, когато защитата на машината се актуализира. За да намерите информация относно това кои стойности да използвате в тригера, отидете на Как да разбера дали дадена машина е актуализирана с нов сертификат или не?.

    Екранна снимка на спусъка „Когато се добавя, променя или изтрива ред“.

    Използвайте:

    • PendingNewKey за машини, изискващи актуализация на защитата.
    • По подразбиране за машини, които успешно са обработили актуализация на защитата.
    • KeyExpired за машини, които не са успели да получат нов сертификат по време на периода на подновяване.

    Бележка

    Можете да използвате допълнителните разширени опции, за да настроите фино поведението на този спусък.

  4. Проверете дали машините имат новите сертификати.

    Можете да проверите дали вашите машини са извлекли най-новата версия на сертификата на групата машини, като използвате колоната Състояние на доставката на машинен ключ в таблицата Flow Machine в Dataverse. Ако стойността е празна или е зададена по подразбиране, тогава вашата машина е актуална.

  5. Изпълнявайте потоци от работния плот с всяка връзка, насочена към тези машини, за да избегнете поправянето им по-късно.

    В портала: Power Automate

    1. Отидете на Монитор>Машини.
    2. Изберете машината от списъка.
    3. На страницата с подробности за машината намерете картата с връзки и изберете Вижте всички връзки.
    4. Стартирайте десктоп поток с всяка от тези връзки към десктоп поток.

    Снимка на екрана на свързването на машина.

Как да разбера кога ще се случи следващото подновяване на сертификата?

Има три параметъра, които управляват сроковете за подновяване на сертификатите, всеки от които е наличен в колона в записа Група на поточните машини в Dataverse:

  • Колоната Дата на създаване на ключ записва датата, на която е създаден сертификатът.
  • Колоната Период на валидност на ключа документира жизнения цикъл на сертификата.
  • Колоната Key Grace Period представлява времевия прозорец, в който се създава нов сертификат и машините и връзките се мигрират към нов ключ.

Можете да разберете точната дата на следващото подновяване на сертификата, като използвате следното изчисление: Дата на създаване на ключ + (Период на валидност на ключа – Гратисен период на ключа)

Времева диаграма за изтичане на текущия сертификат

Как да разбера дали дадена машина е актуализирана с нов сертификат или не?

Можете да проверите дали вашите машини са извлекли най-новата версия на сертификата на групата машини, като използвате колоната Състояние на доставката на ключ на машината в таблицата Поточна машина в Dataverse:

  • Ако стойността е празна или е зададена на По подразбиране, вашата машина е актуална.
  • Ако стойността е В очакване на нов ключ, машината е в периода на подновяване и все още не е актуализирана. Ще се актуализира, когато се свържете онлайн, или в рамките на 24 часа, ако вече сте онлайн.
  • Ако стойността е Ключът е изтекъл, машината е пропуснала периода на подновяване и трябва ръчно да я присъедините отново към групата.

Как да персонализирам срока на валидност и срока на подновяване на сертификата?

Power Automate ви позволява да персонализирате срока на валидност на сертификата и колко рано се задейства подновяването за всяка група машини. Предстоящите подновявания ще използват тези колони (актуализациите може да отнемат 24 часа, за да бъдат получени): Dataverse

Table Column Използване Граници
Група машини за потока Период на валидност на груповия ключ Продължителност в минути, след която следващият издаден сертификат ще бъде изтекъл. Минимум: Три месеца (129 600 минути)
Максимум: Пет години (2,628,000 минути).
Група машини за потока Гратисен период на валидност на групов ключ Продължителност в минути преди датата на изтичане на сертификата на групата машини, при която машините ще подновят сертификатите си. Минимум: 45 дни (64 800 минути)
Максимум: половината от периода на валидност на груповия ключ.

Настоящият сертификат остава валиден до изтичане на срока му на валидност. Промените в срока на валидност ще важат само за следващия сертификат.

Някои специални съображения трябва да се имат предвид при промяна на периода на валидност и гратисния период:

  • Ако новата стойност на Период на валидност на груповия ключ е по-кратка от жизнения цикъл на текущия сертификат или попадне в рамките на определения гратисен период, незабавно ще бъде насрочено подновяване на сертификата. Ще започне през следващите 24 часа, ако приемем, че някои машини от групата са онлайн. Периодът за подновяване на сертификата ще продължи за определения гратисен период.

  • Ако новата стойност на Периодът на валидност на груповия ключ е по-дълга от текущата, нищо няма да се случи веднага. Текущият сертификат ще бъде активен до неговата ротация. Новият сертификат ще вземе предвид новия период на валидност.

Как да задействам подновяване на сертификат?

Ако искате да ускорите подновяването на сертификата, можете да редактирате Период на валидност на груповия ключ , за да промените продължителността на периода на подновяване. Тази стойност не може да бъде по-висока от половината от **Периода на валидност** на груповия ключ и не може да бъде по-малка от 45 дни.

Ако е необходимо незабавно да анулирате сертификатите, изтрийте групите си машини в Power Automate и ги създайте отново. Можете да направите това, като изтриете съответните редове в таблицата Група „Поточни машини“ .

Предупреждение

Изтриването на групи машини ще изисква коригиране на връзките на работния плот, насочени към тези групи машини.