管理 SQL Server Integration Services Scale Out 的憑證

適用於：SQL Server Azure Data Factory 中的 SSIS Integration Runtime

為了保護 Scale Out Master 與 Scale Out Worker 之間的通訊，SSIS Scale Out 會使用兩個憑證：一個用於 Master，一個用於 Worker。

Scale Out 主機憑證

在大部分情況下，系統會在 Scale Out Master 安裝期間設定 Scale Out Master 憑證。

在 [SQL Server 安裝精靈] 的 [Integration Services 擴增設定 - 主要節點] 頁面中，您可以選擇建立新的自我簽署 TLS/SSL 憑證，或使用現有的 TLS/SSL 憑證。

新憑證。 如果您對憑證沒有特殊需求，可以選擇建立新的自我簽署 TLS/SSL 憑證。 您可以進一步在憑證中指定 CN。 請確定 CN 中包含 Scale Out Worker 稍後要使用的主要端點主機名稱。 預設會包含主要節點的電腦名稱和 IP 位址。

現有憑證。 如果您選擇使用現有的憑證，請按一下 [瀏覽] 從本機電腦的根憑證存放區中選取 TLS/SSL 憑證。

變更 Scale Out Master 憑證

您可能會因憑證到期或其他原因而需要變更 Scale Out Master 憑證。 若要變更 Scale Out Master 憑證，請執行下列動作：

1.建立 TLS/SSL 憑證。

使用下列命令，在主要節點上建立並安裝新的 TLS/SSL 憑證：

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

例如：

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2.將憑證繫結至主要連線埠

使用下列命令，檢查原始繫結：

netsh http show sslcert ipport=0.0.0.0:{Master port}

例如：

netsh http show sslcert ipport=0.0.0.0:8391

使用下列命令，刪除原始的繫結並設定新的繫結：

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

例如：

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}

3.更新 Scale Out Master 服務設定檔

更新主要節點上的 Scale Out Master 服務設定檔 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config。 將 SSLCertThumbprint 更新為新的 TLS/SSL 憑證指紋。

4.重新啟動 Scale Out Master 服務

5.將 Scale Out Worker 重新連線至 Scale Out Master

針對每個 Scale Out Worker，刪除 Worker，然後使用 Scale Out Manager 將其重新新增，或執行下列動作：

a. 將用戶端 TLS/SSL 憑證安裝至背景工作角色節點上本機電腦的根存放區。

b. 更新 Scale Out Worker 服務設定檔。

更新背景工作節點上的 Scale Out Worker 服務設定檔 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config。 將 MasterHttpsCertThumbprint 更新為新的 TLS/SSL 憑證指紋。

c. 重新啟動 Scale Out Worker 服務。

Scale Out 背景工作憑證

系統會在 Scale Out 背景工作安裝期間自動產生 Scale Out 背景工作憑證。

變更 Scale Out Worker 憑證

如果您要變更 Scale Out Worker 憑證，請執行下列動作：

1.建立憑證

使用下列命令，建立並安裝憑證：

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

例如：

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2.將用戶端憑證安裝至背景工作節點上本機電腦的根存放區

3.將服務存取權授與憑證

刪除舊的憑證，並使用下列命令，將 Scale Out Worker 服務存取權授與新憑證：

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

例如：

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4.更新 Scale Out Worker 服務設定檔

更新背景工作節點上的 Scale Out Worker 服務設定檔 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config。 將 WorkerHttpsCertThumbprint 更新為新的憑證指紋。

5.將用戶端憑證安裝至主要節點上本機電腦的根存放區

6.重新啟動 Scale Out Worker 服務

後續步驟

如需詳細資訊，請參閱下列文章：

• Integration Services (SSIS) Scale Out Master
• Integration Services (SSIS) Scale Out Worker