管理员计算机组证书续订

加入计算机组的第一台 Power Automate 计算机将颁发一份自签名证书,此证书用于:

  • 在桌面流连接中加密 Windows 凭据。
  • 识别使用 Power Automate 的计算机。

该证书使用只有客户才知道的密码获得保护。

在计算机组证书续订期间会发生什么情况?

当前证书过期的时间线图表

计算机组证书续订默认在当前证书设置为过期前六个月开始,并在当前证书过期时结束。 计算机组证书续订不会影响您的计算机组运行流的能力,因为其速度快,发生在运行之间,并且在续订期间支持当前证书和新证书上的计算机。 在此期间:

  • 该组中与 Power Automate 连接的第一台计算机将颁发一份新的受密码保护的证书。

  • 该组中与 Power Automate 连接的下一批计算机将使用新证书更新其证书。 即使其他计算机(甚至是第一台)处于脱机状态,也可以执行此步骤。

  • 具有新证书的计算机仍然可以成功地成为使用当前证书加密凭据的桌面流连接的目标。

  • 以计算机或计算机组为目标的桌面流连接将在云端流中使用后自动更新,以运行桌面流。

证书续订多久发生一次?

默认情况下,计算机组证书每五年过期一次。 续订发生在到期前的最后六个月中。 若要了解如何自定义此行为的信息,请转到如何自定义证书到期和续订持续时间?

如果计算机错过了计算机组证书续订(脱机、过时的 Power Automated 桌面版等)怎么办?

如果该组中至少有一台计算机更新为最新证书,则其他错过续订期的计算机将能够重新加入该组。 首先,在已更新的计算机上重新生成计算机组密码。 然后,在其他计算机中,打开 Power Automate 计算机运行时应用,选择重新加入,并输入新计算机组密码。

如果计算机组的所有计算机都未续订证书,则不能使用此计算机组。 您需要删除该计算机组,重新创建新计算机组并加入计算机。 要查找有关确定未进行组证书续订的计算机的信息,请转到如何知道是否用新证书更新了计算机?

如果在计算机组证书续订过程中未使用桌面流连接怎么办?

如果在续订计算机组证书时未使用桌面流连接,则需要修复此连接:

  • 转到 Power Automate 门户。
  • 导航到数据>连接
  • 查找状态为修复连接的桌面流连接,并打开它们以重新输入必需的信息。

如果预计某些计算机在数月内会保持脱机状态或无法使用该怎么办?

您需要将这些计算机联机并在证书续订期间在这些计算机上运行流。

  1. 查找需要更新 Power Automate 桌面版的计算机。

    您的计算机必须装有 Power Automate 2.23 版或更高版本。 您可以在 Dataverse 内使用流计算机表中的代理版本列来验证计算机的版本。

  2. 查找每台计算机的续订期。

    您可以通过在 Dataverse 内查询流计算机组表中的密钥创建日期组密钥失效宽限期列来确定给定组的计算机续订期。 创建数据创建日期 + 宽限期之间的期限是指组中每台计算机都必须上线并检索最新组安全性的时间。

  3. 提醒用户在续订期间将计算机联机。

    您可以获得关于使用云端流和以下 Dataverse 触发器实现的计算机安全更新的通知:

    每次更新计算机安全性时都会调用此触发器。 若要查找有关触发器中要使用哪些值的信息,请转到如何知道是否用新证书更新了计算机?

    添加、修改或删除触发器时的屏幕截图。

    使用:

    • PendingNewKey,它适用于需要安全更新的计算机。
    • 默认,它适用于已成功处理安全更新的计算机。
    • KeyExpired,它适用于在续订期间未能获取新证书的计算机。

    备注

    您可以使用其他高级选项来调整此触发器的行为。

  4. 验证计算机是否具有新证书。

    您可以在 Dataverse 内使用流计算机表中的计算机密钥交付状态列验证您的计算机是否已检索到最新版本的计算机组证书。 如果值为空或设置为默认值,则计算机为最新计算机。

  5. 使用针对这些计算机的每个连接运行桌面流,以避免以后修复它们。

    在 Power Automate 门户中:

    1. 转到监视>计算机
    2. 从列表中选择计算机。
    3. 在计算机的详细信息页上,找到连接卡并选择查看所有连接
    4. 使用上述每个桌面流连接来运行桌面流。

    计算机连接的屏幕截图。

如何知道下次证书续订的发生时间?

有三个参数控制证书续订时间线,每个参数均位于 Dataverse 内流计算机组记录上的某个列中:

  • 密钥创建日期列记录创建证书的日期。
  • 密钥有效性期间列记录证书的生命周期。
  • 密钥宽限期列表示创建新证书以及将计算机和连接迁移到新密钥的时间窗口。

您可以使用以下计算公式确定下一个证书续订的精确日期:密钥创建日期 +(密钥有效期间 – 密钥宽限期)

当前证书过期的时间线图表

如何知道是否通过新证书更新了计算机?

您可以在 Dataverse 内使用流计算机表中的计算机密钥交付状态列验证您的计算机是否已检索到最新版本的计算机组证书:

  • 如果值为空或设置为默认值,则计算机为最新计算机。
  • 如果该值为待定新密钥,则计算机位于续订期内并且尚未更新。 它将在联机时更新,如果已经联机,则会在 24 小时内更新。
  • 如果该值为已过期密钥,则表示计算机已错过续订期,您必须手动将计算机重新加入到组中。

如何自定义证书到期和续订持续时间?

Power Automate 使您能够自定义证书生命周期以及为任何计算机组触发续订的提前时间。 即将进行的续订将使用这些 Dataverse 列(选择更新可能需要 24 小时):

Column 用法 边界
流计算机组 组密钥有效期 颁发的下一个证书过期将经历的持续时间(分钟数)。 最小值:三个月(129,600 分钟)
最大值:五年(2,628,000 分钟)。
流计算机组 组密钥失效宽限期 计算机在计算机组证书到期日期之前续订其证书的持续时间(以分钟为单位)。 最小值:45 天(64,800 分钟)
最大值:组密钥有效期限的一半。

当前证书在到期日期之前一直有效。 对有效期所做的更改将仅适用于下一个证书。

在更改有效期和宽限期时,必须记住一些特殊注意事项:

  • 如果新的组密钥有效期值短于当前证书的生命周期或在定义的宽限期内,将会立即安排证书续订。 假设组中某些计算机已联机,那么此组将在以后 24 小时内开始。 证书续订期将持续定义的宽限期。

  • 如果新的组密钥有效期限值长于当前组密钥有效期限值,则不会立即发生任何事件。 当前证书在轮换之前将保持活动状态。 新证书将考虑新的有效期。

如何触发证书续订?

如果要加快证书续订,可以编辑组密钥有效期以更改续订期的长度。 此值不能高于组密钥的有效期的一半,不能低于 45 天。

如果需要立即使证书无效,请在 Power Automate 中删除您的计算机组,然后重新创建它们。 您可以通过删除流计算机组表中的相应行来删除相应行。

警告

如果删除计算机组,则将需要修复面向这些计算机组的桌面流连接。