服務主要金鑰
「服務主要金鑰」是 SQL Server 加密階層的根。 第一次需要利用這種金鑰來加密其他金鑰時,便會自動產生服務主要金鑰。 依預設,服務主要金鑰是以 Windows 資料保護 API 以及本機電腦金鑰加密。 服務主要金鑰只能由建立此金鑰的 Windows 服務帳戶來開啟,或是由可存取服務帳戶名稱及其密碼的主體來開啟。
重新產生或還原服務主要金鑰包括解密與重新加密完整的加密階層。 除非該金鑰已經洩密,才應該在資源需求低的時段,排程進行此項會耗用大量資源的作業。
SQL Server 2012 是使用 AES 加密演算法來保護服務主要金鑰 (SMK) 及資料庫主要金鑰 (DMK)。 與早期版本中使用的 3DES 相比,AES 是一種較新的加密演算法。 將 Database Engine 執行個體升級至 SQL Server 2012 之後,應該會重新產生 SMK 和 DMK,以將主要金鑰升級至 AES。 如需有關重新產生 SMK 的詳細資訊,請參閱<ALTER SERVICE MASTER KEY (Transact-SQL)>及<ALTER MASTER KEY (Transact-SQL)>。
最佳作法
備份服務主要金鑰,然後在一個安全且位於異地的位置存放此金鑰備份。
相關工作
BACKUP SERVICE MASTER KEY (Transact-SQL)
RESTORE SERVICE MASTER KEY (Transact-SQL)
ALTER SERVICE MASTER KEY (Transact-SQL)