Sql-Server

失去主數據庫的 DMK 加密密碼

  • August 27, 2014

背景故事:我的公司為我們的一些數據庫啟用了 TDE 加密。為我們的一台伺服器加密主密鑰的密碼失去了。我們確實有備份 .key 文件,但是,它加密的密碼也失去了。

我們還備份了證書,但這些密碼也失去了。

原始備份文件(主密鑰、證書)仍然存在,並且這些加密密碼可用於這些數據庫所在的先前伺服器。

題:

  1. 我們希望為我們環境中使用的證書/密鑰存檔實際密碼。什麼是最好的解決方案?- 這是一個生產環境

我的公司為我們的一些數據庫啟用了 TDE 加密。為我們的一台伺服器加密主密鑰的密碼失去了。我們確實有備份 .key 文件,但是,它加密的密碼也失去了。

我們還備份了證書,但這些密碼也失去了。

所以你知道備份 cert/DMK 文件現在沒用了。我會立即進行新的備份並保存密碼。這樣,您可以在發生任何事情時恢復較舊的備份文件。我還將備份 SMK,因為這是您此時必須解密 DMK/Cert 的唯一方法。

原始備份文件(主密鑰、證書)仍然存在,並且這些加密密碼可用於這些數據庫所在的先前伺服器。

我假設沒有根據您的評論輪換密鑰。如果是這種情況,您很可能能夠將這些恢復到測試伺服器並將啟用 TDE 的數據庫恢復到所述測試伺服器而不會出現問題。如果是這種情況,您可以重新使用這些密鑰,假設在您目前的實例中沒有其他東西依賴於 DMK/Cert。

由於 TDE 通過 SMK(而不是通過密碼)工作,因此您目前處於“危險之中”。當然,它正在執行,但誰知道何時或是否會發生某些事情。我之前說過,進行新的備份。

最直接的方法是從該實例上的數據庫中刪除 TDE,刪除證書,然後刪除 DMK(先備份它們之後)。然後繼續創建啟用的 DMK/Cert/TDE。這將是磁碟和 cpu 密集型的(取決於數據庫和硬體/磁碟/等的大小)。使用受保護的密碼備份新的 DMK/Cert。

引用自:https://dba.stackexchange.com/questions/74988