Khi nào tôi cần sao lưu Khóa dịch vụ chính?

Tôi đang đọc một số tài liệu và whitepaper về Mã hóa dữ liệu trong suốt. Một số tài liệu đề cập để sao lưu Khóa dịch vụ chính (Để làm rõ Tôi không nói về Khóa chính cơ sở dữ liệu). Tôi chỉ không hiểu chính xác lý do tại sao điều này là cần thiết, bởi vì tôi có thể sao lưu / khôi phục Cơ sở dữ liệu bằng Mã hóa TDE từ Máy chủ A (sao lưu) sang Máy chủ B (khôi phục) mà không cần sử dụng bất kỳ Khóa dịch vụ chính nào.

Trong trường hợp nào tôi cần khôi phục Khóa dịch vụ chính?

Nếu bạn đang nói về khóa chính của dịch vụ SQL, thì rất hiếm khi bạn thực sự cần khôi phục nó.

Tôi đang nghĩ về một vài tình huống mà bạn cần khôi phục SMK ...

1. Bằng cách nào đó nó đã bị hỏng.

2. Bạn đang xây dựng lại máy chủ SQL của mình và lập kế hoạch khôi phục mọi cơ sở dữ liệu bao gồm cả cơ sở dữ liệu hệ thống từ bản sao lưu. Thông thường trong trường hợp này, bạn cũng có thể không cần khôi phục SMK nếu bạn đang sử dụng cùng một tài khoản và mật khẩu dịch vụ SQL.

Trong TDE, bạn không cần khôi phục SMK. Như mọi người đã nói, bạn chỉ cần chứng chỉ và khóa riêng. Bạn không cần phải có khóa chính cơ sở dữ liệu, cũng như khi bạn tạo chứng chỉ từ bản sao lưu, nó sẽ được mã hóa bởi DMK của máy đích.

Khi bạn đang di chuyển cơ sở dữ liệu TDE sang một phiên bản mới, điều bạn cần đảm bảo là chứng chỉ phù hợp (hoặc khóa bất đối xứng) cũng nằm ở đích master cơ sở dữ liệu của . Nếu bạn không làm điều này, bạn sẽ nhận được lỗi sau:

Msg 33111, Cấp 16, Trạng thái 3, Dòng 2 Không thể tìm thấy chứng chỉ máy chủ có dấu vân tay '0xA085414434DB4A36B29 ..................'.

Đây không phải là Khóa dịch vụ chính cần di chuyển với bản sao lưu cơ sở dữ liệu hỗ trợ TDE, nhưng nó sẽ là chứng chỉ. Chẳng hạn, giả sử bạn đã tạo DEK (khóa mã hóa cơ sở dữ liệu) bằng chứng chỉ mastercó tên MyTDECert . Nếu không có chứng chỉ đó trong trường hợp đích của bạn, bạn sẽ không thể khôi phục cơ sở dữ liệu của mình.

Một trường hợp bạn cần sao lưu và khôi phục SMK là khi bạn đang nâng cấp cấu trúc liên kết nhân rộng.