Gestire i certificati in SQL Server Integration Services Scale Out
Si applica a: SQL Server SSIS Integration Runtime in Azure Data Factory
Per proteggere la comunicazione tra Scale Out Master e istanze di Scale Out Worker, SSIS Scale Out usa due certificati, uno per Scale Out Master e uno per le istanze di Scale Out Worker.
Certificato di Scale Out Master
Nella maggior parte dei casi, il certificato di Scale Out Master viene configurato durante l'installazione di Scale Out Master.
Nella pagina Configurazione di Integration Services Scale Out - Nodo master dell'Installazione guidata di SQL Server, è possibile scegliere di creare un nuovo certificato TLS/SSL autofirmato oppure usare un certificato TLS/SSL esistente.
Nuovo certificato. Se non si hanno requisiti speciali per i certificati, è possibile scegliere di creare un nuovo certificato TLS/SSL autofirmato. In questo certificato è anche possibile specificare i nomi comuni (CN). Verificare che il nome host dell'endpoint master che sarà poi usato dalle istanze di Scale Out Worker sia incluso nei nomi comuni. Per impostazione predefinita, sono inclusi il nome del computer e l'indirizzo IP del nodo master.
Certificato esistente. Se si sceglie di usare un certificato esistente, fare clic su Sfoglia per selezionare un certificato TLS/SSL dall'archivio certificati Radice del computer locale.
Modificare il certificato di Scale Out Master
Potrebbe essere necessario modificare il certificato di Scale Out Master perché scaduto o per altri motivi. Per modificare il certificato di Scale Out Master, eseguire le operazioni seguenti:
1. Crea un certificato TLS/SLL.
Creare e installare un nuovo certificato TLS/SLL nel nodo master con il comando seguente:
MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
Ad esempio:
MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
2. Associa il certificato alla porta master
Controllare l'associazione originale con il comando seguente:
netsh http show sslcert ipport=0.0.0.0:{Master port}
Ad esempio:
netsh http show sslcert ipport=0.0.0.0:8391
Eliminare l'associazione originale e configurare la nuova associazione con i comandi seguenti:
netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}
Ad esempio:
netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}
3. Aggiorna il file di configurazione del servizio Scale Out Master
Aggiornare il file di configurazione del servizio Scale Out Master \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config
nel nodo master. Aggiornare SSLCertThumbprint all'identificazione personale del nuovo certificato TLS/SSL.
4. Riavvia il servizio Scale Out Master
5. Ricollega le istanze di Scale Out Worker a Scale Out Master
Per ogni istanza di Scale Out Worker, eliminare il ruolo di lavoro e aggiungerlo di nuovo usando Scale Out Manager oppure eseguire le operazioni seguenti:
a. Installare il certificato TLS/SSL client nell'archivio Radice del computer locale nel nodo di lavoro.
b. Aggiornare il file di configurazione del servizio Scale Out Worker.
Aggiornare il file di configurazione del servizio Scale Out Worker \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
nel nodo di lavoro. Aggiornare MasterHttpsCertThumbprint all'identificazione personale del nuovo certificato TLS/SSL.
c. Riavviare il servizio Scale Out Worker.
Certificato di Scale Out Worker
Il certificato di Scale Out Worker viene generato automaticamente durante l'installazione di Scale Out Worker.
Modificare il certificato di Scale Out Worker
Se si vuole modificare il certificato di Scale Out Worker, eseguire le operazioni seguenti:
1. Crea un certificato
Creare e installare un certificato con il comando seguente:
MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
Ad esempio:
MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
2. Installa il certificato client nell'archivio Radice del computer locale nel nodo di lavoro
3. Consenti al servizio l'accesso al certificato
Eliminare il certificato precedente e consentire al servizio Scale Out Worker l'accesso al nuovo certificato con il comando seguente:
certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}
Ad esempio:
certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140
4. Aggiorna il file di configurazione del servizio Scale Out Worker
Aggiornare il file di configurazione del servizio Scale Out Worker \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
nel nodo di lavoro. Aggiornare WorkerHttpsCertThumbprint all'identificazione personale del nuovo certificato.
5. Installa il certificato client nell'archivio Radice del computer locale nel nodo master
6. Riavvia il servizio Scale Out Worker
Passaggi successivi
Per altre informazioni, vedere gli articoli seguenti: