Czytam trochę dokumentacji i oficjalnego dokumentu na temat przezroczystego szyfrowania danych. Niektóre dokumenty wspominają również o utworzeniu kopii zapasowej głównego klucza usługi (dla wyjaśnienia nie mówię o głównym kluczu bazy danych). Po prostu nie rozumiem dokładnie, dlaczego jest to konieczne, ponieważ byłem w stanie wykonać kopię zapasową / przywrócić bazę danych z szyfrowaniem TDE z serwera A (kopia zapasowa) na serwer B (przywracanie) bez użycia klucza głównego usługi.
W jakim scenariuszu muszę przywrócić klucz główny usługi?
Odpowiedzi:
Jeśli mówisz o kluczu głównym usługi SQL, zdarza się rzadkie zdarzenie, w którym naprawdę musisz go przywrócić.
Myślę o kilku scenariuszach, w których musisz przywrócić SMK ...
Jakoś się zepsuło.
Odbudowujesz serwer SQL i planujesz przywrócić każdą bazę danych, w tym systemowe bazy danych z kopii zapasowej. Zwykle w tym przypadku również nie trzeba przywracać SMK, jeśli używasz tego samego konta usługi SQL i hasła.
W TDE nie musisz przywracać SMK. Jak wszyscy mówili, wystarczy certyfikat i klucz prywatny. Nie musisz mieć tego samego klucza głównego bazy danych, ponieważ podczas tworzenia certyfikatu z kopii zapasowej jest on szyfrowany przez DMK komputera docelowego.
źródło
Gdy przenosisz bazę danych TDE do nowej instancji, musisz upewnić się, że odpowiedni certyfikat (lub klucz asymetryczny) znajduje się również w
master
bazie danych miejsca docelowego . Jeśli tego nie zrobisz, pojawi się następujący błąd:To nie klucz główny usługi musi być przenoszony wraz z kopią zapasową bazy danych obsługującą TDE, ale byłby to certyfikat. Załóżmy na przykład, że utworzyłeś DEK (klucz szyfrowania bazy danych) za pomocą certyfikatu
master
o nazwie MyTDECert . Bez tego certyfikatu w docelowej instancji przywrócenie bazy danych nie będzie możliwe.źródło
Jednym z przypadków, w których należy wykonać kopię zapasową i przywrócić SMK, jest uaktualnienie topologii replikacji.
źródło