Gerenciar certificados do SQL Server Integration Services Scale Out
Aplica-se a: SQL Server SSIS Integration Runtime no Azure Data Factory
Para proteger a comunicação entre o Mestre do Scale Out e os Trabalhos do Scale Out, o SSIS Scale Out usa dois certificados – um para o Mestre e outro para os Trabalhos.
Certificado do Mestre do Scale Out
Na maioria dos casos, o certificado do Mestre do Scale Out é configurado durante a instalação do Mestre do Scale Out.
Na página Configuração do Integration Services Scale Out – Nó Mestre do Assistente de Instalação do SQL Server, você pode optar por criar um certificado TLS/SSL autoassinado ou usar um certificado TLS/SSL existente.
Novo certificado. Caso não tenha requisitos especiais de certificados, você poderá criar um certificado TLS/SSL autoassinado. Você pode ainda especificar os CNs nesse certificado. Verifique se o nome do host do ponto de extremidade mestre a ser usado posteriormente pelo Trabalho do Scale Out está incluído nos CNs. Por padrão, o nome do computador e o endereço IP do nó mestre estão incluídos.
Certificado existente. Se você optar por usar um certificado existente, clique em Procurar para selecionar um certificado TLS/SSL no repositório de certificados Raiz do computador local.
Alterar o certificado do Mestre do Scale Out
Talvez você deseje alterar o certificado do Mestre do Scale Out devido à expiração do certificado ou por outros motivos. Para alterar o certificado do Mestre do Scale Out, siga estas etapas:
1. Criar um certificado TLS/SSL.
Crie e instale um certificado TLS/SSL no nó Mestre com o seguinte comando:
MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
Por exemplo:
MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
2. Associar o certificado à porta do Mestre
Verifique a associação original com o seguinte comando:
netsh http show sslcert ipport=0.0.0.0:{Master port}
Por exemplo:
netsh http show sslcert ipport=0.0.0.0:8391
Excluir a associação original e configurar a nova associação com os seguintes comandos:
netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}
Por exemplo:
netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}
3. Atualizar o arquivo de configuração de serviço do Mestre do Scale Out
Atualize o arquivo de configuração de serviço do Mestre do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config
, no nó Mestre. Atualize SSLCertThumbprint para a impressão digital do novo certificado TLS/SSL.
4. Reiniciar o serviço Mestre do Scale Out
5. Reconectar os Trabalhos do Scale Out ao Mestre do Scale Out
Para cada Trabalho do Scale Out, exclua o Trabalho e, em seguida, adicione-o novamente com o Gerenciador do Scale Out ou faça o seguinte:
a. Instale o certificado TLS/SSL do cliente no repositório Raiz do computador local no nó de Trabalho.
b. Atualize o arquivo de configuração de serviço do Trabalho do Scale Out.
Atualize o arquivo de configuração de serviço do Trabalho do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
, no nó de Trabalho. Atualize MasterHttpsCertThumbprint para a impressão digital do novo certificado TLS/SSL.
c. Reinicie o serviço Trabalho do Scale Out.
Certificado de Trabalho do Scale Out
Durante a instalação do Trabalho do Scale Out, o respectivo certificado é gerado automaticamente.
Alterar o certificado do Trabalho do Scale Out
Caso deseje alterar o certificado do Trabalho do Scale Out, siga estas etapas:
1. Criar um certificado
Crie e instale um certificado com o seguinte comando:
MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
Por exemplo:
MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
2. Instalar o certificado do cliente no repositório Raiz do computador local no nó de Trabalho
3. Conceder acesso ao certificado para o serviço
Exclua o certificado antigo e conceda acesso ao novo certificado para o serviço do Trabalho do Scale Out com o seguinte comando:
certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}
Por exemplo:
certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140
4. Atualizar o arquivo de configuração de serviço do Trabalho do Scale Out
Atualize o arquivo de configuração de serviço do Trabalho do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
, no nó de Trabalho. Atualize WorkerHttpsCertThumbprint para a impressão digital do novo certificado.
5. Instalar o certificado do cliente no repositório raiz do computador local no nó mestre
6. Reiniciar o serviço Trabalho do Scale Out
Próximas etapas
Para obter mais informações, confira os seguintes artigos: