Partager via


Gérer les certificats dans SQL Server Integration Services Scale Out

S’applique à : SQL Server SSIS Integration Runtime dans Azure Data Factory

Pour sécuriser la communication entre Scale Out Master et les Scale Out Workers, SSIS Scale Out utilise deux certificats : un pour le Master et un pour les Workers.

Certificat Scale Out Master

Dans la plupart des cas, le certificat Scale Out Master est configuré pendant l’installation de Scale Out Master.

Dans la page Configuration d’Integration Services Scale Out - Nœud Master de l’Assistant Installation de SQL Server, vous pouvez créer un certificat TLS/SSL auto-signé ou utiliser un certificat TLS/SSL existant.

Configuration de Master

Nouveau certificat. Si vous n’avez pas d’exigences particulières pour les certificats, vous pouvez choisir de créer un certificat TLS/SSL auto-signé. Vous pouvez ensuite spécifier les noms communs dans le certificat. Vérifiez que le nom d’hôte du point de terminaison maître utilisé plus tard par les Scale Out Workers est inclus dans les noms communs. Par défaut, le nom de l’ordinateur et l’adresse IP du nœud Master sont inclus.

Certificat existant. Si vous choisissez d’utiliser un certificat existant, cliquez sur Parcourir pour sélectionner un certificat TLS/SSL à partir du magasin de certificats racine de l’ordinateur local.

Changer le certificat Scale Out Master

Vous pouvez changer votre certificat Scale Out Master s’il expire ou pour d’autres raisons. Pour changer le certificat Scale Out Master, effectuez les opérations suivantes :

1. Obtenez un certificat TLS/SSL.

Créez et installez un certificat TLS/SSL sur le nœud Master à l’aide de la commande suivante :

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

Par exemple :

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine -a sha1

2. Lier le certificat au port Master

Vérifiez la liaison d’origine à l’aide de la commande suivante :

netsh http show sslcert ipport=0.0.0.0:{Master port}

Par exemple :

netsh http show sslcert ipport=0.0.0.0:8391

Supprimez la liaison d’origine et configurez la nouvelle liaison à l’aide des commandes suivantes :

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={TLS/SSL Certificate Thumbprint} certstorename=Root appid={original appid}

Par exemple :

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=0011001100110011001100110011001100110011 certstorename=Root appid={11111111-2222-3333-4444-555555555555}

3. Mettre à jour le fichier de configuration du service Scale Out Master

Mettez à jour le fichier de configuration du service Scale Out Master, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config, sur le nœud Master. Mettez à jour SSLCertThumbprint vers l’empreinte du nouveau certificat TLS/SSL.

4. Redémarrer le service Scale Out Master

5. Reconnecter les Scale Out Workers au Scale Out Master

Pour chaque Scale Out Worker, supprimez le Worker et rajoutez-le avec Scale Out Manager ou effectuez les opérations suivantes :

a. Installez le certificat TLS/SSL client dans le magasin racine de l’ordinateur local sur le nœud Worker.

b. Mettez à jour le fichier de configuration du service Scale Out Worker.

Mettez à jour le fichier de configuration du service Scale Out Worker, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, sur le nœud Worker. Mettez à jour MasterHttpsCertThumbprint vers l’empreinte du nouveau certificat TLS/SSL.

c. Redémarrez le service Scale Out Worker.

Certificat Scale Out Worker

Le certificat Scale Out Worker est généré automatiquement durant l’installation de Scale Out Worker.

Changer le certificat Scale Out Worker

Si vous souhaitez changer le certificat Scale Out Worker, effectuez les opérations suivantes :

1. Créer un certificat

Créez et installez un certificat à l’aide de la commande suivante :

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

Par exemple :

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. Installer le certificat client dans le magasin racine de l’ordinateur local sur le nœud Worker

3. Donner au service l’accès au certificat

Supprimez l’ancien certificat et donnez au service Scale Out Worker l’accès au nouveau certificat à l’aide de la commande suivante :

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

Par exemple :

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Mettre à jour le fichier de configuration du service Scale Out Worker

Mettez à jour le fichier de configuration du service Scale Out Worker, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, sur le nœud Worker. Mettez à jour WorkerHttpsCertThumbprint vers l’empreinte du nouveau certificat.

5. Installer le certificat client dans le magasin racine de l’ordinateur local sur le nœud master

6. Redémarrer le service Scale Out Worker

Étapes suivantes

Pour plus d’informations, consultez les articles suivants :