SQL Server Integration Services Scale Out의 인증서 관리Manage certificates for SQL Server Integration Services Scale Out

Scale Out 마스터와 Scale Out 작업자 사이의 통신 보안을 위해 SSIS Scale Out은 두 가지 인증서(마스터를 위한 인증서 하나와 작업자를 위한 인증서 하나)를 사용합니다.To secure the communication between Scale Out Master and Scale Out Workers, SSIS Scale Out uses two certificates - one for the Master and one for the Workers.

Scale Out 마스터 인증서Scale Out Master certificate

대부분의 경우 Scale Out 마스터 인증서는 Scale Out 마스터 설치 중에 구성됩니다.In most cases, the Scale Out Master certificate is configured during the installation of Scale Out Master.

SQL Server 설치 마법사의 Integration Services Scale Out 구성 - 마스터 노드 페이지에서 자체 서명 SSL 인증서를 새로 만들거나 기존 SSL 인증서를 사용하도록 선택할 수 있습니다.In the Integration Services Scale Out Configuration - Master Node page of the SQL Server Installation wizard, you can choose to create a new self-signed SSL certificate or use an existing SSL certificate.

마스터 구성

새 인증서.New certificate. 인증서에 특별한 요구 사항이 없는 경우 자체 서명 SSL 인증서를 새로 만들도록 선택할 수 있습니다.If you don't have special requirements for certificates, you can choose to create a new self-signed SSL certificate. 인증서의 CN을 더 지정할 수 있습니다.You can further specify the CNs in the certificate. 나중에 Scale Out 작업자에 사용될 마스터 엔드포인트의 호스트 이름이 CN에 포함되어야 합니다.Make sure the host name of the master endpoint to be used later by Scale Out Workers is included in the CNs. 기본적으로 마스터 노드의 컴퓨터 이름과 IP 주소가 포함됩니다.By default, the computer name and IP address of the master node are included.

기존 인증서.Existing certificate. 기존 인증서를 사용하도록 선택하는 경우 로컬 컴퓨터의 루트 인증서 저장소에서 찾아보기를 클릭하여 SSL 인증서를 선택합니다.If you choose to use an existing certificate, click Browse to select an SSL certificate from the Root certificate store of the local computer.

Scale Out 마스터 인증서 변경Change the Scale Out Master certificate

인증서 만료나 기타 이유로 인해 Scale Out 마스터 인증서를 변경할 수 있습니다.You may want to change your Scale Out Master certificate due to certificate expiration or for other reasons. Scale Out 마스터 인증서를 변경하려면 다음을 수행합니다.To change the Scale Out Master certificate, do the following things:

1. SSL 인증서 만들기1. Create an SSL certificate.

다음 명령으로 마스터 노드에 SSL 인증서를 만들고 설치합니다.Create and install a new SSL certificate on the Master node with the following command:

MakeCert.exe -n CN={master endpoint host} SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine

예를 들어 다음과 같이 사용할 수 있습니다.For example:

MakeCert.exe -n CN=MasterMachine SSISScaleOutMaster.cer -r -ss Root -sr LocalMachine

2. 인증서를 마스터 포트에 바인딩2. Bind the certificate to the Master port

다음 명령으로 원래 바인딩을 확인합니다.Check the original binding with the following command:

netsh http show sslcert ipport=0.0.0.0:{Master port}

예를 들어 다음과 같이 사용할 수 있습니다.For example:

netsh http show sslcert ipport=0.0.0.0:8391

다음 명령을 사용하여 원래 바인딩을 삭제하고 새 바인딩을 설정합니다.Delete the original binding and set up the new binding with the following commands:

netsh http delete sslcert ipport=0.0.0.0:{Master port}
netsh http add sslcert ipport=0.0.0.0:{Master port} certhash={SSL Certificate Thumbprint} certstorename=Root appid={original appid}

예를 들어 다음과 같이 사용할 수 있습니다.For example:

netsh http delete sslcert ipport=0.0.0.0:8391
netsh http add sslcert ipport=0.0.0.0:8391 certhash=01d207b300ca662f479beb884efe6ce328f77d53 certstorename=Root appid={a1f96506-93e0-4c91-9171-05a2f6739e13}

3. Scale Out 마스터 서비스 구성 파일 업데이트3. Update the Scale Out Master service configuration file

마스터 노드에서 Scale Out 마스터 서비스 구성 파일인 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config를 업데이트합니다.Update the Scale Out Master service configuration file, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\MasterSettings.config, on the Master node. SSLCertThumbprint를 새 SSL 인증서의 지문으로 업데이트합니다.Update SSLCertThumbprint to the thumbprint of the new SSL certificate.

4. Scale Out 마스터 서비스 다시 시작4. Restart the Scale Out Master service

5. Scale Out 작업자를 Scale Out 마스터에 다시 연결5. Reconnect Scale Out Workers to Scale Out Master

각 Scale Out 작업자에 대해 작업자를 삭제한 다음 Scale Out 관리자를 사용하여 다시 추가하거나 다음을 수행합니다.For each Scale Out Worker, either delete the Worker and then add it back with Scale Out Manager, or do the following things:

1.a. 작업자 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 SSL 인증서를 설치합니다.Install the client SSL certificate to the Root store of the local computer on the Worker node.

2.b. Scale Out 작업자 서비스 구성 파일을 업데이트합니다.Update the Scale Out Worker service configuration file.

Update the Scale Out Worker service configuration file, `\<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config`, on the Worker node. Update **MasterHttpsCertThumbprint** to the thumbprint of the new SSL certificate.

c.c. Scale Out 작업자 서비스를 다시 시작합니다.Restart the Scale Out Worker service.

Scale Out 작업자 인증서Scale Out Worker certificate

Scale Out 작업자 인증서는 Scale Out 작업자를 설치하는 동안 자동으로 생성됩니다.Scale Out Worker certificate is generated automatically during the installation of Scale Out Worker.

Scale Out 작업자 인증서 변경Change the Scale Out Worker certificate

Scale Out 작업자 인증서를 변경하려는 경우 다음을 수행합니다.If you want to change Scale Out Worker certificate, do the following things:

1. 인증서 만들기1. Create a certificate

다음 명령을 사용하여 인증서를 만들고 설치합니다.Create and install a certificate with the following command:

MakeCert.exe -n CN={worker machine name};CN={worker machine ip} SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

예를 들어 다음과 같이 사용할 수 있습니다.For example:

MakeCert.exe -n CN=WorkerMachine;CN=10.0.2.8 SSISScaleOutWorker.cer -r -ss My -sr LocalMachine

2. 작업자 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 인증서 설치2. Install the client certificate to the Root store of the local computer on the Worker node

3. 인증서에 서비스 액세스 권한 부여3. Grant service access to the certificate

다음 명령을 사용하여 이전 인증서를 삭제하고 새 인증서에 Scale Out 작업자 서비스에 대한 액세스 권한을 부여합니다.Delete the old certificate and grant Scale Out Worker service access to the new certificate with following command:

certmgr.exe /del /c /s /r localmachine My /n {CN of the old certificate}
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s {CN of the new certificate} -a {the account running Scale Out Worker service}

예를 들어 다음과 같이 사용할 수 있습니다.For example:

certmgr.exe /del /c /s /r localmachine My /n WorkerMachine
winhttpcertcfg.exe -g -c LOCAL_MACHINE\My -s WorkerMachine -a SSISScaleOutWorker140

4. Scale Out 작업자 서비스 구성 파일 업데이트4. Update the Scale Out Worker service configuration file

작업자 노드에서 Scale Out 작업자 서비스 구성 파일인 \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config를 업데이트합니다.Update the Scale Out Worker service configuration file, \<drive\>:\Program Files\Microsoft SQL Server\140\DTS\Binn\WorkerSettings.config, on the Worker node. WorkerHttpsCertThumbprint를 새 인증서의 지문으로 업데이트합니다.Update WorkerHttpsCertThumbprint to the thumbprint of the new certificate.

5. 마스터 노드에서 로컬 컴퓨터의 루트 저장소에 클라이언트 인증서 설치5. Install the client certificate to the Root store of the local computer on the Master node

6. Scale Out 작업자 서비스 다시 시작6. Restart the Scale Out Worker service

다음 단계Next steps

자세한 내용은 다음 문서를 참조하세요.For more info, see the following articles: