我有六台 SQL Server 2014 服务器。我没有在任何服务器上使用 TDE(透明数据加密)。
我希望能够加密备份数据库任何服务器并将该备份还原到任何其他服务器。
我需要对具有服务主密钥、主数据库密钥和证书的每台服务器执行哪些操作?我希望使用最少数量的密钥、证书以及这些密钥和证书的备份文件。
如果我向组中添加额外的 SQL Server 2014,我需要采取什么操作?
谢谢大家。Server Fault 和 Stack Overflow 过去曾多次帮助过我。
答案1
SQL Server 有两个主要的密钥应用:在 SQL Server 实例上生成的服务主密钥 (SMK),以及用于数据库的数据库主密钥 (DMK)。
SMK 在 SQL Server 实例首次启动时自动生成,用于加密链接服务器密码、凭据和数据库主密钥。SMK 通过使用 Windows 数据保护 API (DPAPI) 的本地计算机密钥进行加密。
DPAPI 使用从 SQL Server 服务帐户的 Windows 凭据和计算机凭据派生的密钥。服务主密钥只能由创建它的服务帐户或有权访问计算机凭据的主体解密。
数据库主密钥是用于保护数据库中存在的证书和非对称密钥的私钥的对称密钥。它还可用于加密数据,但洛克尔它具有长度限制,这使得它对于数据来说比使用对称密钥更不实用。
创建主密钥时,使用 Triple DES 算法和用户提供的密码对其进行加密。为了启用主密钥的自动解密,使用 SMK 加密密钥的副本。它存储在使用它的数据库和主系统数据库中。
每当更改 DMK 时,存储在主系统数据库中的 DMK 副本都会自动更新。但是,可以使用 ALTER MASTER KEY 语句的 DROP ENCRYPTION BY SERVICE MASTER KEY 选项更改此默认值。未由服务主密钥加密的 DMK 必须使用 OPEN MASTER KEY 语句和密码打开。