Совместное использование ключей и сертификатов между сервером SQL Server 2014 для зашифрованного резервного копирования и восстановления

Question

Совместное использование ключей и сертификатов между сервером SQL Server 2014 для зашифрованного резервного копирования и восстановления

У меня шесть серверов SQL Server 2014. Я не использую TDE, прозрачное шифрование данных, на любом сервере.

Я хотел бы иметь возможность получить зашифрованную резервную копию базы данных на любом сервере и восстановить эту резервную копию на любом другом сервере.

Какие действия мне нужно предпринять на каждом сервере с главным ключом службы, главным ключом базы данных и сертификатом? Я хотел бы использовать минимальное количество ключей, сертификатов и файлов резервных копий для этих ключей и сертификатов.

Какие действия мне нужно предпринять, если я добавлю дополнительный SQL Server 2014 в группу?

Спасибо вам всем. Ошибка сервера и переполнение стека помогали мне много раз в прошлом.

3

encryption database-backup sql-server-2014

Источник

John Lofgren 04 сен '16 в 00:38

1 ответ

Другие вопросы по тегам encryption database-backup sql-server-2014

john smith 04 сен '16 в 07:06 2016-09-04 07:06 · Answer 1 · 2016-09-04 07:06

В SQL Server есть два основных приложения для ключей: главный ключ службы (SMK), созданный для экземпляра SQL Server и для него, и главный ключ базы данных (DMK), используемый для базы данных.

SMK генерируется автоматически при первом запуске экземпляра SQL Server и используется для шифрования пароля связанного сервера, учетных данных и главного ключа базы данных. SMK шифруется с помощью ключа локального компьютера с помощью API защиты данных Windows (DPAPI).

DPAPI использует ключ, полученный из учетных данных Windows учетной записи службы SQL Server и учетных данных компьютера. Главный ключ службы может быть расшифрован только учетной записью службы, под которой он был создан, или участником, имеющим доступ к учетным данным компьютера.

Главный ключ базы данных - это симметричный ключ, который используется для защиты закрытых ключей сертификатов и асимметричных ключей, присутствующих в базе данных. Он также может быть использован для шифрования данных, но у него есть ограничения по длине, которые делают его менее практичным для данных, чем использование симметричного ключа.

Когда он создается, главный ключ шифруется с использованием алгоритма Triple DES и предоставленного пользователем пароля. Чтобы включить автоматическое дешифрование главного ключа, копия ключа шифруется с помощью SMK. Он хранится как в базе данных, в которой он используется, так и в базе данных главной системы.

Копия DMK, хранящаяся в базе данных главной системы, автоматически обновляется при каждом изменении DMK. Однако это значение по умолчанию можно изменить с помощью параметра DROP ENCRYPTION BY SERVICE MASTER KEY в инструкции ALTER MASTER KEY. DMK, который не зашифрован главным ключом службы, должен быть открыт с помощью оператора OPEN MASTER KEY и пароля.

или посетите https://msdn.microsoft.com/en-us/library/bb964742.aspx