Gérer les certificats dans SQL Server Integration Services Scale Out
S’applique à : SQL Server SSIS Integration Runtime dans Azure Data Factory
Pour sécuriser la communication entre Scale Out Master et les Scale Out Workers, SSIS Scale Out utilise deux certificats : un pour le Master et un pour les Workers.
Certificat Scale Out Master
Dans la plupart des cas, le certificat Scale Out Master est configuré pendant l’installation de Scale Out Master.
Dans la page Configuration d’Integration Services Scale Out - Nœud Master de l’Assistant Installation de SQL Server, vous pouvez créer un certificat TLS/SSL auto-signé ou utiliser un certificat TLS/SSL existant.
Nouveau certificat. Si vous n’avez pas d’exigences particulières pour les certificats, vous pouvez choisir de créer un certificat TLS/SSL auto-signé. Vous pouvez ensuite spécifier les noms communs dans le certificat. Vérifiez que le nom d’hôte du point de terminaison maître utilisé plus tard par les Scale Out Workers est inclus dans les noms communs. Par défaut, le nom de l’ordinateur et l’adresse IP du nœud Master sont inclus.
Certificat existant. Si vous choisissez d’utiliser un certificat existant, cliquez sur Parcourir pour sélectionner un certificat TLS/SSL à partir du magasin de certificats racine de l’ordinateur local.
Changer le certificat Scale Out Master
Vous pouvez changer votre certificat Scale Out Master s’il expire ou pour d’autres raisons. Pour changer le certificat Scale Out Master, effectuez les opérations suivantes :
1. Obtenez un certificat TLS/SSL.
Créez et installez un certificat TLS/SSL sur le nœud Master à l’aide de la commande suivante :
MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
Par exemple :
MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1
2. Lier le certificat au port Master
Vérifiez la liaison d’origine à l’aide de la commande suivante :
netsh http show sslcert ipport=0.0.0.0:{Master port}
Par exemple :
netsh http show sslcert ipport=0.0.0.0:8391
Supprimez la liaison d’origine et configurez la nouvelle liaison à l’aide des commandes suivantes :
netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}
Par exemple :
netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}
3. Mettre à jour le fichier de configuration du service Scale Out Master
Mettez à jour le fichier de configuration du service Scale Out Master, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config
, sur le nœud Master. Mettez à jour SSLCertThumbprint vers l’empreinte du nouveau certificat TLS/SSL.
4. Redémarrer le service Scale Out Master
5. Reconnecter les Scale Out Workers au Scale Out Master
Pour chaque Scale Out Worker, supprimez le Worker et rajoutez-le avec Scale Out Manager ou effectuez les opérations suivantes :
a. Installez le certificat TLS/SSL client dans le magasin racine de l’ordinateur local sur le nœud Worker.
b. Mettez à jour le fichier de configuration du service Scale Out Worker.
Mettez à jour le fichier de configuration du service Scale Out Worker, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
, sur le nœud Worker. Mettez à jour MasterHttpsCertThumbprint vers l’empreinte du nouveau certificat TLS/SSL.
c. Redémarrez le service Scale Out Worker.
Certificat Scale Out Worker
Le certificat Scale Out Worker est généré automatiquement durant l’installation de Scale Out Worker.
Changer le certificat Scale Out Worker
Si vous souhaitez changer le certificat Scale Out Worker, effectuez les opérations suivantes :
1. Créer un certificat
Créez et installez un certificat à l’aide de la commande suivante :
MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
Par exemple :
MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine
2. Installer le certificat client dans le magasin racine de l’ordinateur local sur le nœud Worker
3. Donner au service l’accès au certificat
Supprimez l’ancien certificat et donnez au service Scale Out Worker l’accès au nouveau certificat à l’aide de la commande suivante :
certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}
Par exemple :
certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140
4. Mettre à jour le fichier de configuration du service Scale Out Worker
Mettez à jour le fichier de configuration du service Scale Out Worker, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config
, sur le nœud Worker. Mettez à jour WorkerHttpsCertThumbprint vers l’empreinte du nouveau certificat.
5. Installer le certificat client dans le magasin racine de l’ordinateur local sur le nœud master
6. Redémarrer le service Scale Out Worker
Étapes suivantes
Pour plus d’informations, consultez les articles suivants :