Ich lese eine Dokumentation und ein Whitepaper über transparente Datenverschlüsselung. In einigen Dokumentationen wird auch das Sichern des Service-Hauptschlüssels erwähnt (zur Verdeutlichung spreche ich nicht über den Datenbank-Hauptschlüssel). Ich verstehe nur nicht genau, warum dies erforderlich ist, da ich eine Datenbank mit TDE-Verschlüsselung von Server A (Sicherung) auf Server B (Wiederherstellung) ohne Verwendung eines Diensthauptschlüssels sichern / wiederherstellen konnte.
In welchem Szenario muss ich den Service Master Key wiederherstellen?
Antworten:
Wenn Sie über den SQL-Dienst-Hauptschlüssel sprechen, müssen Sie ihn in seltenen Fällen wirklich wiederherstellen.
Ich denke an ein paar Szenarien, in denen Sie das SMK wiederherstellen müssen ...
Irgendwie wurde es beschädigt.
Sie bauen Ihren SQL Server neu auf und planen, jede Datenbank einschließlich der Systemdatenbanken aus einer Sicherung wiederherzustellen. In der Regel müssen Sie in diesem Fall möglicherweise auch das SMK nicht wiederherstellen, wenn Sie dasselbe SQL-Dienstkonto und Kennwort verwenden.
In TDE müssen Sie das SMK nicht wiederherstellen. Wie jeder sagte, brauchen Sie nur das Zertifikat und den privaten Schlüssel. Sie müssen nicht denselben Datenbankhauptschlüssel haben, auch wenn Sie das Zertifikat aus einer Sicherungskopie erstellen, wird es vom DMK des Zielcomputers verschlüsselt.
quelle
Wenn Sie eine TDE-Datenbank in eine neue Instanz verschieben, müssen Sie sicherstellen, dass sich das richtige Zertifikat (oder der richtige asymmetrische Schlüssel) auch in der Zieldatenbank befindet
master
. Wenn Sie dies nicht tun, erhalten Sie folgende Fehlermeldung:Es ist nicht der Service-Hauptschlüssel, der mit der TDE-fähigen Datenbanksicherung verschoben werden muss, sondern das Zertifikat. Angenommen , Sie haben Ihr DEK (Datenbank-Verschlüsselungsschlüssel) mit einem Zertifikat mit dem
master
Namen MyTDECert erstellt . Ohne dieses Zertifikat auf Ihrer Zielinstanz können Sie Ihre Datenbank nicht wiederherstellen.quelle
Ein Fall, in dem Sie das SMK sichern und wiederherstellen müssen, ist das Aktualisieren einer Replikationstopologie.
quelle