Ключи шифрования служб SSRS — резервное копирование и восстановление ключей шифрования

  • Статья

Применимо к: SQL Server 2016 (13.x) и более поздних версий

Одним из важных аспектов конфигурирования сервера отчетов является создание резервной копии симметричного ключа, используемого для шифрования конфиденциальных данных. Резервная копия ключа требуется для выполнения многих распространенных операций и позволяет повторно использовать базу данных существующего сервера отчетов в новом сервере.

Применимо к: Reporting Services в собственном режиме | Reporting Services в режиме интеграции с SharePoint

Примечание

Интеграция служб Reporting Services с SharePoint больше не доступна после выхода SQL Server 2016.

Восстанавливать резервную копию ключа шифрования нужно в ответ на любое из следующих событий:

  • Изменение имени учетной записи Windows-службы сервера отчетов или переназначение пароля. Когда используется диспетчер конфигурации сервера отчетов, создание резервной копии ключа входит в операцию изменения имени учетной записи службы.

    Примечание

    Переназначение пароля и изменение пароля — не одно и то же. Для переназначения пароля необходимо разрешение на перезапись учетных данных в контроллере домена. Переназначение пароля выполняется системным администратором в том случае, если пользователь забывает или не знает конкретный пароль. Восстановление симметричного ключа требуется только при переназначении паролей. При периодическом изменении пароля учетной записи переназначать симметричный ключ не нужно.

  • Переименование компьютера или экземпляра, на котором размещен сервер отчетов (экземпляр сервера отчетов связан с именем экземпляра SQL Server ).

  • Выполнение миграции сервера отчетов или настройка сервера отчетов на использование другой базы данных сервера отчетов.

  • Восстановление сервера отчетов по журналу после аппаратного сбоя.

Необходимо создать только одну резервную копию симметричного ключа. Между базой данных сервера отчетов и симметричным ключом имеется однозначное соответствие. Несмотря на то, что необходимо создать только одну резервную копию ключа, восстанавливать ключ, возможно, придется несколько раз, если выполняется несколько серверов отчетов, использующих модель масштабного развертывания. Каждому экземпляру сервера отчетов потребуется своя копия симметричного ключа для блокирования и разблокирования данных в базе данных сервера отчетов.

Созданием резервной копии симметричного ключа называют процесс, в ходе которого ключ записывается в указанный файл, после чего шифруется с использованием заданного пароля. Симметричный ключ не может быть сохранен в незашифрованном состоянии, поэтому при его сохранении на диске необходимо указать пароль для шифрования ключа. После создания файла необходимо сохранить его в безопасном месте и запомнить пароль , служащий для разблокирования файла. Для создания резервной копии симметричного ключа можно использовать следующие средства:

Собственный режим. Диспетчер конфигурации сервера отчетов или служебная программа rskeymgmt.

Режим SharePoint. Страницы центра администрирования SharePoint или PowerShell.

Резервное копирование серверов отчетов в режиме интеграции с SharePoint

Для серверов отчетов, работающих в режиме интеграции с SharePoint, можно использовать команды PowerShell или страницы управления для приложений служб Службы Reporting Services . Дополнительные сведения см. в разделе "Управление ключами" статьи Управление служебным приложением SharePoint службы Reporting Services.

Резервное копирование ключей шифрования — диспетчер конфигурации сервера отчетов (собственный режим)

  1. Запустите Configuration Manager для сервера отчетов и подключитесь к экземпляру сервера отчетов, который нужно настроить.

  2. Щелкните Ключи шифрования, а затем — Создать резервную копию.

  3. Введите надежный пароль.

  4. Укажите файл, предназначенный для сохранения ключа. Службы Reporting Services к имени файла будет добавлено расширение SNK. Возможно, лучше будет записать файл на диск, чтобы не хранить его на компьютере, где запускается сервер отчетов.

  5. Нажмите кнопку ОК.

Резервное копирование ключей шифрования — rskeymgmt (собственный режим)

  1. На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe . Укажите аргумент -e для копирования ключа, задайте имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере.

    rskeymgmt -e -f d:\rsdbkey.snk -p<password>

Восстановление ключей шифрования

При восстановлении симметричного ключа выполняется перезапись существующего симметричного ключа, хранящегося в базе данных сервера отчетов. В результате восстановления ключа шифрования неиспользуемый ключ заменяется копией, которая ранее была сохранена на диске. Восстановление ключа шифрования складывается из следующих операций:

  • Из защищенного паролем файла резервной копии ключа извлекается симметричный ключ.

  • Симметричный ключ шифруется с использованием открытого ключа Windows-службы сервера отчетов.

  • Зашифрованный симметричный ключ сохраняется в базе данных сервера отчетов.

  • Данные симметричного ключа, которые хранились в базе данных до этого (например, данные ключа, которые была записаны в базу данных сервера отчетов при развертывании предыдущего экземпляра), удаляются.

Для восстановления ключа шифрования необходим файл с копией ключа. Кроме того, необходимо знать пароль, позволяющий разблокировать хранимую копию ключа. Если эти условия выполнены, для восстановления ключа можно запустить средство настройки служб Reporting Services или программу rskeymgmt . Симметричный ключ должен быть тем же, что служит и для блокирования и разблокирования зашифрованного содержимого, хранящегося в базе данных сервера отчетов. При попытке восстановления некорректной копии ключа сервер отчетов не сможет получить доступ к зашифрованным данным, хранящимся в базе данных сервера отчетов. В этом случае, возможно, придется удалить все зашифрованные значения, если не получится восстановить корректный ключ. Если в силу той или иной причины восстановить ключ шифрования не удается (например, нет резервной копии ключа), существующий ключ и зашифрованные данные необходимо удалить. Дополнительные сведения см. в разделе Удаление и повторное создание ключей шифрования (диспетчер конфигурации сервера отчетов). Дополнительные сведения о создании симметричного ключа см. в разделе Инициализация сервера отчетов (диспетчер конфигурации сервера отчетов).

Восстановление ключей шифрования — диспетчер конфигурации сервера отчетов (собственный режим)

  1. Запустите Configuration Manager для сервера отчетов и подключитесь к экземпляру сервера отчетов, который нужно настроить.

  2. На странице "Ключи шифрования" щелкните Восстановить.

  3. Выберите SNK-файл, содержащий резервную копию ключа.

  4. Введите пароль, позволяющий разблокировать файл.

  5. Нажмите кнопку ОК.

Восстановление ключей шифрования — rskeymgmt (собственный режим)

  1. На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe . Укажите аргумент -a для восстановления ключа. Необходимо указать полностью определенное имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере.

    rskeymgmt -a -f d:\rsdbkey.snk -p<password>

См. также:

Настройка ключей шифрования и управление ими (диспетчер конфигурации сервера отчетов)