Reporting Services の暗号化キーのバックアップと復元
レポート サーバー構成で重要なのは、機密情報の暗号化に使用される対称キーのバックアップ コピーの作成です。 キーのバックアップ コピーは多くのルーチン処理で必要とされ、キーのバックアップ コピーにより新しいインストールで既存のレポート サーバー データベースを再利用できます。 次のいずれかが行われた場合、暗号化キーのバックアップ コピーを復元する必要があります。
レポート サーバー Windows サービスのアカウント名の変更またはパスワードの再設定。 Reporting Services 構成マネージャーを使用する際に、サービス アカウント名の変更操作の一部としてキーをバックアップします。
注 パスワードの再設定はパスワードの変更とは異なります。 パスワードを再設定するには、ドメイン コントローラーでアカウント情報を上書きする権限が必要です。 パスワードの再設定は、ユーザーが特定のパスワードを忘れた場合、または知らない場合に、システム管理者が行います。 パスワードの再設定にのみ、対称キーの復元が必要となります。 アカウント パスワードの定期的な変更には、対称キーの再設定は必要ありません。
レポート サーバーをホストするコンピューターまたはインスタンスの名前変更 (レポート サーバー インスタンスは SQL Server インスタンス名に基づいています)。
レポート サーバー インストールの移行または別のレポート サーバー データベースを使用するようにレポート サーバーを構成。
ハードウェア障害による、レポート サーバー インストールの復旧。
対称キーに必要なバックアップのコピーは 1 つだけです。 レポート サーバー データベースと対称キーは、一対一で対応します。 必要なバックアップのコピーは 1 つだけですが、スケールアウト配置モデルで複数のレポート サーバーを起動している場合には、複数回キーを復元する必要が生じる場合があります。 各レポート サーバー インスタンスは、レポート サーバー データベースでデータをロックおよびロック解除するために対称キーのコピーが必要になります。
暗号化キーのバックアップ
対称キーのバックアップは、指定するファイルにキーを書き込み、指定したパスワードを使用してそのキーにスクランブルをかける処理です。 対称キーが暗号化されていない状態で格納されることはないので、ディスクに格納する際は、キーを暗号化するためのパスワードを指定する必要があります。 ファイルの作成後、セキュリティで保護された場所にファイルを保存します。ファイルのロックを解除するために使用するパスワードを覚えておく必要があります。 対称キーをバックアップするには、Reporting Services 構成マネージャーと rskeymgmt ユーティリティのどちらか (ネイティブ モードの場合)、または SharePoint サーバーの全体管理ページと PowerShell のどちらか (SharePoint モードの場合) を使用できます。
SharePoint モードのレポート サーバー
SharePoint モードのレポート サーバーの場合は、PowerShell コマンドを使用するか、または Reporting Services サービス アプリケーションの管理ページを使用します。 詳細については、「Reporting Services サービス アプリケーションの管理」の「キー管理」を参照してください。
暗号化キーのバックアップ方法 (Reporting Services 構成マネージャー)
Reporting Services 構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。
[暗号化キー] をクリックし、次に [バックアップ] をクリックします。
複雑なパスワードを入力します。
格納されたキーを含むファイルを指定します。 Reporting Services では、ファイルに .snk ファイル拡張子が付けられます。 このファイルをディスクに保存して、レポート サーバーとは別に保管することを検討してください。
[OK] をクリックします。
暗号化キーのバックアップ方法 (rskeymgmt)
レポート サーバーをホストするコンピューターでローカルに rskeymgmt.exe を実行します。 抽出用の -e 引数を使用してキーをコピーし、ファイル名を入力して、パスワードを指定する必要があります。 指定する必要がある引数の例を次に示します。
rskeymgmt -e -f d:\rsdbkey.snk -p<password>
暗号化キーの復元
対称キーを復元すると、レポート サーバー データベースに格納されている既存の対称キーを上書きします。 暗号化キーを復元すると、使用できないキーが以前ディスクに格納したコピーと置き換わります。 暗号化キーを復元することにより、次の処理が行われます。
パスワードで保護されたバックアップ ファイルで対称キーが開きます。
レポート サーバー Windows サービスの公開キーを使用して、対称キーが暗号化されます。
暗号化された対称キーがレポート サーバー データベースに格納されます。
以前格納した対称キー データ (以前の配置から既にレポート サーバー データベースにあったキー情報など) は削除されます。
暗号化キーを復元するには、暗号化キーのコピーがファイルにある必要があります。 また、格納したコピーのロックを解除するパスワードを知っている必要もあります。 キーおよびパスワードがある場合、Reporting Services 構成マネージャーまたは rskeymgmt ユーティリティを実行して、キーを復元できます。 対称キーは、レポート サーバー データベースに現在格納されている暗号化されたデータをロックおよびロック解除するキーと同じものである必要があります。 有効ではないコピーを復元すると、レポート サーバーは、レポート サーバー データベースに現在格納されている暗号化されたデータにアクセスできません。 暗号化されたデータにアクセスできず、有効なキーを復元できない場合、すべての暗号化された値を削除する必要が生じることがあります。 なんらかの理由で暗号化キーを復元できない場合 (バックアップ コピーがない場合など)、既存のキーおよび暗号化されたコンテンツを削除する必要があります。 詳細については、「暗号化キーの削除と再作成」を参照してください。 対称キーの作成の詳細については、「レポート サーバーの初期化」を参照してください。
暗号化キーの復元方法 (Reporting Services 構成マネージャー)
Reporting Services 構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。
[暗号化キー] ページで、[復元] をクリックします。
バックアップ コピーを含む .snk ファイルを選択します。
ファイルのロックを解除するパスワードを入力します。
[OK] をクリックします。
暗号化キーの復元方法 (rskeymgmt)
レポート サーバーをホストするコンピューターでローカルに rskeymgmt.exe を実行します。 キーを復元するには、-a 引数を使用します。 完全修飾ファイル名を入力し、パスワードを指定する必要があります。 指定する必要がある引数の例を次に示します。
rskeymgmt -a -f d:\rsdbkey.snk -p<password>