服务主密钥
服务主密钥是 SQL Server 加密层次结构的根。 服务主密钥是首次需要它来加密其他密钥时自动生成的。 默认情况下,服务主密钥使用 Windows 数据保护 API 和本地计算机密钥进行加密。 只有创建服务主密钥的 Windows 服务帐户或有权访问服务帐户名称和密码的主体能够打开服务主密钥。
重新生成或还原服务主密钥涉及解密和重新加密完整的加密层次结构的操作。 除非危及到该密钥的安全性,否则应该在需求较低的时间段内安排这种占用大量资源的操作。
SQL Server 2014 使用 AES 加密算法保护服务主密钥 (SMK) 和数据库主密钥 (DMK) 。 AES 是一种比早期版本中使用的 3DES 更新的加密算法。 将数据库引擎实例升级到 SQL Server 2014 后,应重新生成 SMK 和 DMK,以便将主密钥升级到 AES。 有关重新生成 SMK 的详细信息,请参阅 ALTER SERVICE MASTER KEY (Transact-SQL) 和 ALTER MASTER KEY (Transact-SQL) 。
最佳做法
备份服务主密钥并将备份副本存储在另外一个安全位置。
Related Tasks
BACKUP SERVICE MASTER KEY (Transact-SQL)
RESTORE SERVICE MASTER KEY (Transact-SQL)
ALTER SERVICE MASTER KEY (Transact-SQL)