Поделиться через

Управление сертификатами для горизонтального увеличения масштаба SQL Server Integration Services

  • Статья

Область применения: среда выполнения интеграции SSIS SQL Server в Фабрика данных Azure

Для защиты обмена данными между мастером горизонтального увеличения масштаба и рабочими ролями горизонтального увеличения масштаба в развертывании с горизонтальным увеличением масштаба SSIS используются два сертификата: один для мастера, а другой для рабочих ролей.

Сертификат мастера горизонтального увеличения масштаба

В большинстве случаев сертификат мастера горизонтального увеличения масштаба настраивается во время установки мастера горизонтального увеличения масштаба.

На странице Настройка развертывания служб Integration Services с горизонтальным увеличением масштаба — главный узел мастера установки SQL Server вы можете создать самозаверяющий TLS/SSL-сертификат или воспользоваться существующим.

Конфигурация мастера

Новый сертификат. Если у вас нет особых требований к сертификатам, можно создать самозаверяющий TLS/SSL-сертификат. Для него можно дополнительно указать общие имена. Не забудьте включить в их число имя узла конечной точки мастера, которую потом будут использовать рабочие роли горизонтального увеличения масштаба. По умолчанию включаются имя компьютера и IP-адрес узла мастера.

Существующий сертификат. Если вы решили использовать существующий сертификат, нажмите кнопку Обзор, чтобы выбрать TLS/SSL-сертификат из корневого хранилища сертификатов на локальном компьютере.

Изменение сертификата мастера горизонтального увеличения масштаба

Вам может потребоваться сменить сертификат мастера горизонтального увеличения масштаба из-за истечения срока действия сертификата или по другим причинам. Чтобы сменить сертификат мастера горизонтального увеличения масштаба, выполните указанные ниже действия.

1. Создайте TLS/SSL-сертификат.

Создайте и установите TLS/SSL-сертификат в узле мастера с помощью следующей команды:

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

Например:

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2. Привязка сертификата к главному порту

Проверьте исходную привязку с помощью следующей команды:

netsh http show sslcert ipport=0.0.0.0:{Master port}

Например:

netsh http show sslcert ipport=0.0.0.0:8391

Удалите исходные привязки и настройте новую с помощью следующих команд:

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

Например:

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}

3. Обновление файла конфигурации главной службы scale Out

Обновите файл конфигурации для службы мастера горизонтального увеличения масштаба (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config) в узле мастера. Обновите SSLCertThumbprint, используя отпечаток нового TLS/SSL-сертификата.

4. Перезапустите главную службу горизонтального масштабирования

5. Повторное подключение рабочих ролей горизонтального масштабирования к главному мастеру горизонтального масштабирования

Для каждой рабочей роли горизонтального увеличения масштаба либо удалите рабочую роль и снова добавьте ее с помощью диспетчера горизонтального увеличения масштаба, либо выполните указанные ниже действия.

a. Установите TLS/SSL-сертификат клиента в корневое хранилище локального компьютера в узле рабочей роли.

b. Обновите файл конфигурации для службы рабочей роли горизонтального увеличения масштаба.

Обновите файл конфигурации для службы рабочей роли горизонтального увеличения масштаба (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config) в узле рабочей роли. Обновите MasterHttpsCertThumbprint, используя отпечаток нового TLS/SSL-сертификата.

c. Перезапустите службу рабочей роли горизонтального увеличения масштаба.

Сертификат рабочей роли горизонтального увеличения масштаба

Сертификат рабочей роли горизонтального увеличения масштаба создается автоматически во время установки рабочей роли горизонтального увеличения масштаба.

Смена сертификата рабочей роли горизонтального увеличения масштаба

Если требуется сменить сертификат рабочей роли горизонтального увеличения масштаба, выполните указанные ниже действия.

1. Создание сертификата

Создайте и установите сертификат с помощью следующей команды:

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

Например:

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. Установите сертификат клиента в корневое хранилище локального компьютера на рабочем узле.

3. Предоставление доступа к сертификату службы

Удалите старый сертификат и предоставьте службе рабочей роли горизонтального увеличения масштаба доступ к новому сертификату с помощью следующей команды:

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

Например:

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Обновление файла конфигурации рабочей службы Scale Out

Обновите файл конфигурации для службы рабочей роли горизонтального увеличения масштаба (\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config) в узле рабочей роли. Обновите WorkerHttpsCertThumbprint, используя отпечаток нового сертификата.

5. Установите сертификат клиента в корневое хранилище локального компьютера на главном узле.

6. Перезапустите службу рабочей роли горизонтального масштабирования

Следующие шаги

Дополнительные сведения см. в следующих статьях: