暗号化キーのバックアップおよび復元
レポート サーバー構成で重要なのは、機密情報の暗号化に使用される対称キーのバックアップ コピーの作成です。キーのバックアップ コピーは多くのルーチン処理で必要とされ、キーのバックアップ コピーにより新しいインストールで既存のレポート サーバー データベースを再利用できます。次のいずれかが行われた場合、暗号化キーのバックアップ コピーを復元する必要があります。
- レポート サーバー Windows サービスのアカウント名の変更またはパスワードの再設定。Reporting Services 構成ツールを使用する際に、サービス アカウント名の変更操作の一部としてキーをバックアップします。
メモ : パスワードの再設定はパスワードの変更とは異なります。パスワードを再設定するには、ドメイン コントローラでアカウント情報を上書きする権限が必要です。パスワードの再設定は、ユーザーが特定のパスワードを忘れた場合、または知らない場合に、システム管理者が行います。パスワードの再設定にのみ、対称キーの復元が必要となります。アカウント パスワードの定期的な変更には、対称キーの再設定は必要ありません。 - レポート サーバーをホストするコンピュータまたはインスタンスの名前変更 (レポート サーバー インスタンスは SQL Server インスタンス名に基づいています)。
- レポート サーバー インストールの移行または別のレポート サーバー データベースを使用するようにレポート サーバーを構成。
- ハードウェア障害による、レポート サーバー インストールの復旧。
対称キーに必要なバックアップのコピーは 1 つだけです。レポート サーバー データベースと対称キーは、一対一で対応します。必要なバックアップのコピーは 1 つだけですが、スケールアウト配置モデルで複数のレポート サーバーを起動している場合には、複数回キーを復元する必要が生じる場合があります。各レポート サーバー インスタンスは、レポート サーバー データベースでデータをロックおよびロック解除するために対称キーのコピーが必要になります。
暗号化キーのディスクへのバックアップ
対称キーのバックアップは、指定するファイルにキーを書き込み、指定したパスワードを使用してそのキーにスクランブルをかける処理です。対称キーが暗号化されていない状態で格納されることはないので、ディスクに格納する際は、キーにスクランブルをかけるためのパスワードを指定する必要があります。ファイルの作成後、セキュリティで保護された場所にファイルを保存します。ファイルのロックを解除するために使用するパスワードを覚えておく必要があります。対称キーをバックアップするには、Reporting Services 構成ツールまたは、rskeymgmt ユーティリティのいずれかを使用できます。
暗号化キーのバックアップ方法 (Reporting Services 構成ツール)
- Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。
- [暗号化キー] をクリックし、次に [バックアップ] をクリックします。
- 複雑なパスワードを入力します。
- 格納されたキーを含むファイルを指定します。Reporting Services では、このファイルにファイル拡張子 .snk が付加されます。このファイルをフロッピー ディスクに保存して、レポート サーバーとは別に保存することを検討してください。
- [OK] をクリックします。
暗号化キーのバックアップ方法 (rskeymgmt)
パスワードで保護されたファイルをレポート サーバーとは別に保存する場合は、フロッピー ディスク ドライブにフロッピー ディスクを挿入します。
レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。抽出用の -e 引数を使用してキーをコピーし、ファイル名を入力して、パスワードを指定する必要があります。指定する必要がある引数の例を次に示します。
rskeymgmt -e -f a:\rsdbkey.snk -p<password>
安全な場所にフロッピー ディスクを保存します。
暗号化キーの復元
対称キーを復元すると、レポート サーバー データベースに格納されている既存の対称キーを上書きします。暗号化キーを復元すると、使用できないキーが以前ディスクに格納したコピーと置き換わります。暗号化キーを復元することにより、次の処理が行われます。
- パスワードで保護されたバックアップ ファイルで対称キーが開きます。
- レポート サーバー Windows サービスの公開キーを使用して、対称キーが暗号化されます。
- 暗号化された対称キーがレポート サーバー データベースに格納されます。
- 以前格納した対称キー データ (以前の配置から既にレポート サーバー データベースにあったキー情報など) は削除されます。
暗号化キーを復元するには、暗号化キーのコピーがファイルにある必要があります。また、格納したコピーのロックを解除するパスワードを知っている必要もあります。キーおよびパスワードがある場合、Reporting Services 構成ツールまたは rskeymgmt ユーティリティを実行して、キーを復元できます。対称キーは、レポート サーバー データベースに現在格納されている暗号化されたデータをロックおよびロック解除するキーと同じものである必要があります。有効ではないコピーを復元すると、レポート サーバーは、レポート サーバー データベースに現在格納されている暗号化されたデータにアクセスできません。暗号化されたデータにアクセスできず、有効なキーを復元できない場合、すべての暗号化された値を削除する必要が生じることがあります。なんらかの理由で暗号化キーを復元できない場合 (バックアップ コピーがない場合など)、既存のキーおよび暗号化されたコンテンツを削除する必要があります。詳細については、「暗号化キーの削除と再作成」を参照してください。対称キーの作成の詳細については、「レポート サーバーの初期化」を参照してください。
暗号化キーの復元方法 (Reporting Services 構成ツール)
- Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。
- [暗号化キー] ページで、[復元] をクリックします。
- バックアップ コピーを含む .snk ファイルを選択します。
- ファイルのロックを解除するパスワードを入力します。
- [OK] をクリックします。
暗号化キーの復元方法 (rskeymgmt)
暗号化キーのバックアップ コピーを含むフロッピー ディスクを挿入します。
レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。キーを復元するには、-a 引数を使用します。完全修飾ファイル名を入力し、パスワードを指定する必要があります。指定する必要がある引数の例を次に示します。
rskeymgmt -a -f a:\rsdbkey.snk -p<password>
参照
概念
暗号化キーの管理
Reporting Services 構成ツール
Reporting Services インストールのバックアップおよび復元操作