Freigeben über


Erstellen einer verschlüsselten Sicherung

Gilt für: SQL Server

Dieser Artikel beschreibt die Schritte, die notwendig sind, um eine verschlüsselte Sicherung mit Transact-SQL zu erstellen. Ein Beispiel zum Verwenden von SQL Server Management Studio finden Sie unter Erstellen einer vollständigen Datenbanksicherung.

Achtung

Um eine verschlüsselte Datenbank wiederherzustellen, benötigen Sie Zugriff auf das Zertifikat oder den asymmetrischen Schlüssel, der zum Verschlüsseln der Datenbank verwendet wurde. Ohne das Zertifikat oder den asymmetrischen Schlüssel können Sie die Datenbank nicht wiederherstellen. Bewahren Sie das zum Verschlüsseln des Datenbankverschlüsselungsschlüssels verwendete Zertifikat so lange auf, wie die Sicherung gespeichert werden muss. Weitere Informationen finden Sie unter SQL Server Certificates and Asymmetric Keys.

Voraussetzungen

  • Speicher für die verschlüsselte Sicherung. Je nachdem, welche Option Sie auswählen, eine der folgenden Optionen:

    • Einen lokalen Datenträger oder Speicher mit ausreichendem Speicherplatz, um eine Sicherung der Datenbank zu erstellen.
    • Ein Azure Storage-Konto und einen Container. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos.
  • Ein Datenbank-Hauptschlüssel (DMK) für die master-Datenbank und ein Zertifikat oder ein asymmetrischer Schlüssel in der SQL Server-Instanz. Informationen zu Verschlüsselungsanforderungen und Berechtigungen finden Sie unter Sicherungsverschlüsselung.

Erstellen eines Datenbankhauptschlüssels (DMK)

Wählen Sie ein Kennwort aus, mit dem die in der Datenbank gespeicherte Kopie des Datenbank-Hauptschlüssels verschlüsselt wird. Stellen Sie eine Verbindung mit der Datenbank-Engine her, öffnen Sie ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

Ersetzen Sie <master key password> es durch ein sicheres Kennwort, und stellen Sie sicher, dass Sie eine Kopie des DMK und des Kennworts an einem sicheren Ort aufbewahren.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Erstellen eines Sicherungszertifikats

Erstellen Sie ein Sicherungszertifikat in der master-Datenbank. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Sichern der Datenbank mit Verschlüsselung

Es gibt zwei Standardoptionen zum Erstellen einer verschlüsselten Sicherung:

  • Sicherung auf Datenträger
  • Sicherung in Azure Storage

Führen Sie die folgenden Schritte aus, um eine verschlüsselte Sicherung einer Datenbank auf einem lokalen Datenträger zu erstellen. In diesem Beispiel wird eine Benutzerdatenbank mit dem Namen MyTestDB verwendet.

Geben Sie den Verschlüsselungsalgorithmus und das Zertifikat an, das verwendet werden soll. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

Ersetzen Sie <path_to_local_backup> durch einen lokalen Pfad, in den SQL Server über die Berechtigung zum Schreiben verfügt. Beispielsweise könnte dieser Pfad D:\SQLBackup sein.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Ein Beispiel zum Verschlüsseln einer durch Erweiterbare Schlüsselverwaltung (EKM) geschützten Sicherung finden Sie unter Erweiterbare Schlüsselverwaltung mit Azure Key Vault (SQL Server).