我有六个SQL Server 2014服务器。 我没有在任何服务器上使用TDE,透明数据encryption。
我希望能够在任何服务器上进行数据库的encryption备份,并将该备份恢复到任何其他服务器。
我需要采用服务主密钥,主数据库密钥和证书在每台服务器上执行哪些操作? 我想为这些密钥和证书使用最less数量的密钥,证书和备份文件。
如果我将其他SQL Server 2014添加到组中,需要采取什么操作?
谢谢你们。 服务器故障和堆栈溢出在过去帮了我很多次。
SQL Server有两个主要的应用程序:在SQL Server实例上生成的服务主密钥(SMK),以及用于数据库的数据库主密钥(DMK)。
SMK是在SQL Server实例第一次启动时自动生成的,用于encryption链接的服务器密码,凭证和数据库主密钥。 使用Windows数据保护API(DPAPI)使用本地计算机密钥对SMK进行encryption。
DPAPI使用从SQL Server服务帐户的Windows凭据和计算机的凭据派生的密钥。 服务主密钥只能由其创build的服务帐户或有权访问机器凭证的主体解密。
数据库主密钥是一个对称密钥,用于保护数据库中存在的证书和非对称密钥的私钥。 它也可以用来encryption数据,但是它的长度限制使得它比使用对称密钥更不实用。
创build时,使用Triple DESalgorithm和用户提供的密码对主密钥进行encryption。 要启用主密钥的自动解密,密钥的副本使用SMK进行encryption。 它存储在使用它的数据库和主系统数据库中。
存储在主系统数据库中的DMK的副本每当DMK改变时都会自动更新。 但是,可以通过使用ALTER MASTER KEY语句的DROP ENCRYPTION BY SERVICE MASTER KEY选项来更改此默认值。 未由服务主密钥encryption的DMK必须使用OPEN MASTER KEY语句和密码来打开。