Compartir a través de

Usar certificados en la escalabilidad horizontal de SQL Server Integration Services

  • Artículo

Se aplica a:SQL Server SSIS Integration Runtime en Azure Data Factory

Para proteger la comunicación entre el patrón de escalabilidad horizontal y los trabajadores de escalabilidad horizontal, la escalabilidad horizontal de SSIS usa dos certificados: uno para el patrón y otro para los trabajadores.

Certificado del patrón de escalabilidad horizontal

En la mayoría de los casos, el certificado del patrón de escalabilidad horizontal se configura durante la instalación de este patrón.

En la página Configuración de escalabilidad horizontal de Integration Services: nodo principal del asistente de instalación de SQL Server, puede elegir crear un nuevo certificado TLS/SSL autofirmado o usar un certificado TLS/SSL ya existente.

Configuración principal

Nuevo certificado Si no tiene requisitos especiales para los certificados, puede crear un nuevo certificado TLS/SSL autofirmado. Además, puede especificar los nombres comunes en el certificado. Asegúrese de que el nombre de host del punto de conexión principal que los trabajadores de escalabilidad horizontal van a usar se incluya en el apartado de nombres comunes. De forma predeterminada, se incluyen el nombre del equipo y la dirección IP del nodo principal.

Certificado existente Si decide usar un certificado existente, haga clic en Examinar para seleccionar un certificado TLS/SSL desde el almacén de certificados raíz del equipo local.

Cambiar el certificado del patrón de escalabilidad horizontal

Puede que quiera cambiar el certificado del patrón de escalabilidad horizontal porque está a punto de expirar o por otras razones. Para cambiar el certificado del patrón de escalabilidad horizontal, siga estos pasos:

1. Cree un certificado TLS/SSL.

Cree e instale un nuevo certificado TLS/SSL en el nodo principal mediante el siguiente comando:

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

Por ejemplo:

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2. Enlazar el certificado al puerto principal

Compruebe el enlace original mediante el siguiente comando:

netsh http show sslcert ipport=0.0.0.0:{Master port}

Por ejemplo:

netsh http show sslcert ipport=0.0.0.0:8391

Elimine el enlace original y configure el nuevo enlace mediante los siguientes comandos:

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

Por ejemplo:

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=01d207b300ca662f479beb884efe6ce328f77d53 certstorename=Root appid={a1f96506-93e0-4c91-9171-05a2f6739e13}

3. Actualizar el archivo de configuración del servicio de patrón de escalabilidad horizontal

Actualice el archivo de configuración del servicio de patrón de escalabilidad horizontal, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config, en el nodo del patrón. Actualice SSLCertThumbprint a la huella digital del certificado TLS/SSL nuevo.

4. Reiniciar el servicio del patrón de escalabilidad horizontal

5. Reconectar los trabajadores de escalabilidad horizontal con el patrón de escalabilidad horizontal

Para cada trabajador de escalabilidad horizontal, elimine el trabajador y vuelva a agregarlo con Scale Out Manager o siga estos pasos:

a. Instale el certificado TLS/SSL de cliente en el almacén raíz del equipo local en el nodo del trabajador.

b. Actualice el archivo de configuración de mantenimiento del trabajador de escalabilidad horizontal.

Actualice el archivo de configuración del servicio del trabajador de escalabilidad horizontal, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, en el nodo del trabajador. Actualice MasterHttpsCertThumbprint a la huella digital del certificado TLS/SSL nuevo.

c. Reinicie el servicio del trabajador de escalabilidad horizontal.

Certificado de trabajo de escalabilidad horizontal

El certificado de trabajo de escalabilidad horizontal se crea automáticamente durante la instalación del trabajo de escalabilidad horizontal en cuestión.

Cambiar el certificado del trabajador de escalabilidad horizontal

Si quiere cambiar el certificado del trabajador de escalabilidad horizontal, siga estos pasos:

1. Crear un certificado

Cree e instale un certificado mediante el siguiente comando:

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

Por ejemplo:

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. Instalar el certificado de cliente en el almacén raíz del equipo local en el nodo del trabajador

3. Conceder acceso de servicio al certificado

Elimine el certificado antiguo y conceda acceso de servicio del trabajador de escalabilidad horizontal al certificado nuevo con el siguiente comando:

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

Por ejemplo:

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Actualizar el archivo de configuración de mantenimiento del trabajador de escalabilidad horizontal

Actualice el archivo de configuración del servicio del trabajador de escalabilidad horizontal, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, en el nodo del trabajador. Actualice WorkerHttpsCertThumbprint a la huella digital del certificado nuevo.

5. Instalar el certificado de cliente en el almacén raíz del equipo local en el nodo principal

6. Reiniciar el servicio de trabajador de escalabilidad horizontal

Pasos siguientes

Para más información, consulte los siguientes artículos: