Freigeben über


Verwalten von Zertifikaten für SQL Server Integration Services Scale Out

Gilt für: SQL Server SSIS Integration Runtime in Azure Data Factory

SSIS Scale Out verwendet zwei Zertifikate, um die Kommunikation zwischen dem Scale Out-Master und den Scale Out-Workern sicherzustellen: eins für den Master und eins für die Worker.

Scale Out-Masterzertifikat

In der Regel wird das Scale Out-Masterzertifikat während der Installation des Scale Out-Masters konfiguriert.

Auf der Seite Integration Services-Konfiguration für horizontales Hochskalieren – Masterknoten des SQL Server-Installations-Assistenten können Sie entweder ein neues selbstsigniertes TLS/SSL-Zertifikat erstellen oder ein vorhandenes TLS/SSL-Zertifikat verwenden.

Masterkonfiguration

Neues Zertifikat. Wenn keine besonderen Anforderungen an Zertifikate bestehen, können Sie ein neues selbstsigniertes TLS/SSL-Zertifikat erstellen. Sie können die allgemeinen Namen in diesem Zertifikat näher bestimmen. Stellen Sie sicher, dass der Hostname des Masterendpunkts, der später vom Scale Out-Worker verwendet werden soll, in den allgemeinen Namen enthalten ist. Standardmäßig sind der Computername und die IP-Adresse des Masterknotens darin enthalten.

Vorhandenes Zertifikat. Wenn Sie sich dafür entscheiden, ein vorhandenes Zertifikat zu verwenden, klicken Sie auf Durchsuchen, um aus dem Stammzertifikatspeicher des lokalen Computers ein TLS/SSL-Zertifikat auszuwählen.

Ändern des Scale Out-Masterzertifikats

Sie sollten das Scale Out-Masterzertifikat ändern, weil es abgelaufen sein kann. Führen Sie die folgende Schritte aus, um das Scale Out-Masterzertifikat zu ändern:

1. Erstellen Sie ein TLS/SSL-Zertifikat.

Erstellen und installieren Sie mithilfe des folgenden Befehls ein neues TLS/SSL-Zertifikat auf dem Masterknoten:

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

Beispiel:

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2. Binden Sie das Zertifikat an den Masterport

Überprüfen Sie mithilfe des folgenden Befehls die ursprüngliche Bindung:

netsh http show sslcert ipport=0.0.0.0:{Master port}

Beispiel:

netsh http show sslcert ipport=0.0.0.0:8391

Löschen Sie die ursprüngliche Bindung, und richten Sie die neue Bindung mithilfe des folgenden Befehls ein:

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

Beispiel:

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}

3. Aktualisieren Sie die Konfigurationsdatei des Scale Out-Masterdiensts

Aktualisieren Sie die Konfigurationsdatei des Scale Out-Masterdiensts (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config) auf dem Masterknoten. Aktualisieren Sie SSLCertThumbprint auf den Fingerabdruck des neuen TLS/SSL-Zertifikats.

4. Starten Sie den Scale Out-Masterdienst neu.

5. Stellen Sie erneut eine Verbindung zwischen den Scale Out-Workern und dem Scale Out-Master her.

Löschen Sie für jeden Scale Out-Worker entweder den Worker, und fügen Sie Ihn erneut mit dem Scale Out-Manager hinzu, oder führen Sie die folgenden Schritte aus:

a. Installieren Sie das TLS/SSL-Clientzertifikat im Stammspeicher des lokalen Computers auf dem Workerknoten.

b. Aktualisieren Sie die Konfigurationsdatei des Scale Out-Workerdiensts.

Aktualisieren Sie die Konfigurationsdatei des Scale Out-Workerdiensts (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config) auf dem Workerknoten. Aktualisieren Sie MasterHttpsCertThumbprint auf den Fingerabdruck des neuen TLS/SSL-Zertifikats.

c. Starten Sie den Scale Out-Workerdienst neu.

Scale Out-Workerzertifikat

Das Scale Out-Workerzertifikat wird automatisch bei der Installation des Scale Out-Workers installiert.

Ändern des Scale Out-Workerzertifikats

Wenn Sie das Scale Out-Workerzertifikat ändern möchten, führen Sie die folgenden Schritte aus:

1. Erstellen eines Zertifikats

Erstellen und installieren Sie mithilfe des folgenden Befehls ein Zertifikat:

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

Beispiel:

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. Installieren Sie das Clientzertifikat im Stammspeicher des lokalen Computers auf dem Workerknoten.

3. Gewähren Sie dem Dienst Zugriff auf das Zertifikat.

Löschen Sie das alte Zertifikat, und gewähren Sie dem Scale Out-Workerdienst über den folgenden Befehl Zugriff auf das Zertifikat:

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

Beispiel:

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Aktualisieren Sie die Konfigurationsdatei des Scale Out-Workerdiensts

Aktualisieren Sie die Konfigurationsdatei des Scale Out-Workerdiensts (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config) auf dem Workerknoten. Aktualisieren Sie WorkerHttpsCertThumbprint auf den Fingerabdruck des neuen Zertifikats.

5. Installieren Sie das Clientzertifikat im Stammspeicher des lokalen Computers auf dem Masterknoten.

6. Starten Sie den Scale Out-Workerdienst neu

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln: