SQL Server Integration Services Scale Out의 인증서 관리
적용 대상: SQL Server Azure Data Factory의 SSIS Integration Runtime
Scale Out 마스터와 Scale Out 작업자 사이의 통신 보안을 위해 SSIS Scale Out은 두 가지 인증서(마스터를 위한 인증서 하나와 작업자를 위한 인증서 하나)를 사용합니다.
Scale Out 마스터 인증서
대부분의 경우 Scale Out 마스터 인증서는 Scale Out 마스터를 설치하는 동안 구성됩니다.
SQL Server 설치 마법사의 Integration Services Scale Out 구성 - 마스터 노드 페이지에서 자체 서명된 새 TLS/SSL 인증서를 만들거나 기존 TLS/SSL 인증서를 사용하도록 선택할 수 있습니다.
새 인증서 인증서에 대한 특별한 요구 사항이 없는 경우 자체 서명된 새 TLS/SSL 인증서를 만들도록 선택할 수 있습니다. 이 인증서에서 CNs을 추가로 지정할 수 있습니다. Scale Out 작업자에서 나중에 사용할 마스터 엔드포인트의 호스트 이름이 CNs에 포함되어 있는지 확인합니다. 기본적으로 마스터 노드의 컴퓨터 이름과 IP 주소가 포함됩니다.
기존 인증서. 기존 인증서를 사용하도록 선택하는 경우 로컬 컴퓨터의 루트 인증서 저장소에서 찾아보기를 클릭하여 SSL 인증서를 선택합니다.
Scale Out 마스터 인증서 변경
인증서 만료 또는 다른 이유로 인해 Scale Out 마스터 인증서를 변경할 수 있습니다. Scale Out 마스터 인증서를 변경하려면 다음을 수행합니다.
1. TLS/SSL 인증서를 만듭니다.
다음 명령으로 마스터 노드에 TLS/SSL 인증서를 만들고 설치합니다.
MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
예시:
MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
2. 인증서를 마스터 포트에 바인딩
다음 명령을 사용하여 원래 바인딩을 확인합니다.
netsh http show sslcert ipport=0.0.0.0:{Master port}
예시:
netsh http show sslcert ipport=0.0.0.0:8391
원래 바인딩을 삭제하고 다음 명령을 사용하여 새 바인딩을 설정합니다.
netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}
예시:
netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}
3. Scale Out 마스터 서비스 구성 파일 업데이트
마스터 노드에서 Scale Out 마스터 서비스 구성 파일 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config
를 업데이트합니다. SSLCertThumbprint를 새 TLS/SSL 인증서의 지문으로 업데이트합니다.
4. Scale Out 마스터 서비스 다시 시작
5. Scale Out 작업자를 Scale Out 마스터에 다시 연결
각 Scale Out 작업자에 대해 작업자를 삭제한 다음 Scale Out 관리자를 사용하여 다시 추가하거나 다음 작업을 수행합니다.
a. 작업자 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 TLS/SSL 인증서를 설치합니다.
b. Scale Out 작업자자 서비스 구성 파일 업데이트.
작업자 노드에서 Scale Out 작업자 서비스 구성 파일을 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
를 업데이트합니다. MasterHttpsCertThumbprint를 새 TLS/SSL 인증서의 지문으로 업데이트합니다.
c. Scale Out 마스터 서비스 다시 시작.
Scale Out 작업자 인증서
Scale Out 작업자 인증서는 Scale Out 작업자를 설치하는 동안 자동으로 생성됩니다.
Scale Out 작업자 인증서 변경
Scale Out 작업자 인증서를 변경하려면 다음을 수행합니다.
1. 인증서 만들기
다음 명령을 사용하여 인증서를 만들고 설치합니다.
MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
예시:
MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
2. 작업자 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 인증서를 설치합니다.
3. 인증서에 서비스 액세스 권한 부여
이전 인증서를 삭제하고 다음 명령을 사용하여 Scale Out 작업자 서비스에 새 인증서에 대한 액세스 권한을 부여합니다.
certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}
예시:
certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140
4. Scale Out 작업자자 서비스 구성 파일 업데이트.
작업자 노드에서 Scale Out 작업자 서비스 구성 파일을 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
를 업데이트합니다. WorkerHttpsCertThumbprint를 새 인증서의 지문으로 업데이트합니다.
5. 마스터 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 인증서를 설치합니다.
6. Scale Out 작업자 서비스 다시 시작
다음 단계
자세한 내용은 다음 문서를 참조하세요.