Compartilhar via


Gerenciar certificados do SQL Server Integration Services Scale Out

Aplica-se a: SQL Server SSIS Integration Runtime no Azure Data Factory

Para proteger a comunicação entre o Mestre do Scale Out e os Trabalhos do Scale Out, o SSIS Scale Out usa dois certificados – um para o Mestre e outro para os Trabalhos.

Certificado do Mestre do Scale Out

Na maioria dos casos, o certificado do Mestre do Scale Out é configurado durante a instalação do Mestre do Scale Out.

Na página Configuração do Integration Services Scale Out – Nó Mestre do Assistente de Instalação do SQL Server, você pode optar por criar um certificado TLS/SSL autoassinado ou usar um certificado TLS/SSL existente.

Configuração do Mestre

Novo certificado. Caso não tenha requisitos especiais de certificados, você poderá criar um certificado TLS/SSL autoassinado. Você pode ainda especificar os CNs nesse certificado. Verifique se o nome do host do ponto de extremidade mestre a ser usado posteriormente pelo Trabalho do Scale Out está incluído nos CNs. Por padrão, o nome do computador e o endereço IP do nó mestre estão incluídos.

Certificado existente. Se você optar por usar um certificado existente, clique em Procurar para selecionar um certificado TLS/SSL no repositório de certificados Raiz do computador local.

Alterar o certificado do Mestre do Scale Out

Talvez você deseje alterar o certificado do Mestre do Scale Out devido à expiração do certificado ou por outros motivos. Para alterar o certificado do Mestre do Scale Out, siga estas etapas:

1. Criar um certificado TLS/SSL.

Crie e instale um certificado TLS/SSL no nó Mestre com o seguinte comando:

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

Por exemplo:

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2. Associar o certificado à porta do Mestre

Verifique a associação original com o seguinte comando:

netsh http show sslcert ipport=0.0.0.0:{Master port}

Por exemplo:

netsh http show sslcert ipport=0.0.0.0:8391

Excluir a associação original e configurar a nova associação com os seguintes comandos:

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

Por exemplo:

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}

3. Atualizar o arquivo de configuração de serviço do Mestre do Scale Out

Atualize o arquivo de configuração de serviço do Mestre do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config, no nó Mestre. Atualize SSLCertThumbprint para a impressão digital do novo certificado TLS/SSL.

4. Reiniciar o serviço Mestre do Scale Out

5. Reconectar os Trabalhos do Scale Out ao Mestre do Scale Out

Para cada Trabalho do Scale Out, exclua o Trabalho e, em seguida, adicione-o novamente com o Gerenciador do Scale Out ou faça o seguinte:

a. Instale o certificado TLS/SSL do cliente no repositório Raiz do computador local no nó de Trabalho.

b. Atualize o arquivo de configuração de serviço do Trabalho do Scale Out.

Atualize o arquivo de configuração de serviço do Trabalho do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, no nó de Trabalho. Atualize MasterHttpsCertThumbprint para a impressão digital do novo certificado TLS/SSL.

c. Reinicie o serviço Trabalho do Scale Out.

Certificado de Trabalho do Scale Out

Durante a instalação do Trabalho do Scale Out, o respectivo certificado é gerado automaticamente.

Alterar o certificado do Trabalho do Scale Out

Caso deseje alterar o certificado do Trabalho do Scale Out, siga estas etapas:

1. Criar um certificado

Crie e instale um certificado com o seguinte comando:

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

Por exemplo:

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. Instalar o certificado do cliente no repositório Raiz do computador local no nó de Trabalho

3. Conceder acesso ao certificado para o serviço

Exclua o certificado antigo e conceda acesso ao novo certificado para o serviço do Trabalho do Scale Out com o seguinte comando:

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

Por exemplo:

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Atualizar o arquivo de configuração de serviço do Trabalho do Scale Out

Atualize o arquivo de configuração de serviço do Trabalho do Scale Out, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, no nó de Trabalho. Atualize WorkerHttpsCertThumbprint para a impressão digital do novo certificado.

5. Instalar o certificado do cliente no repositório raiz do computador local no nó mestre

6. Reiniciar o serviço Trabalho do Scale Out

Próximas etapas

Para obter mais informações, confira os seguintes artigos: