次の方法で共有


Reporting Services の暗号化キーのバックアップと復元

レポート サーバー構成で重要なのは、機密情報の暗号化に使用される対称キーのバックアップ コピーの作成です。 キーのバックアップ コピーは多くのルーチン処理で必要とされ、キーのバックアップ コピーにより新しいインストールで既存のレポート サーバー データベースを再利用できます。

適用対象: Reporting Services ネイティブ モード | Reporting Services SharePoint モード

次のいずれかが行われた場合、暗号化キーのバックアップ コピーを復元する必要があります。

  • レポート サーバー Windows サービスのアカウント名の変更またはパスワードの再設定。 Reporting Services 構成マネージャーを使用する際に、サービス アカウント名の変更操作の一部としてキーをバックアップします。

    注意

    パスワードの再設定はパスワードの変更とは異なります。 パスワードを再設定するには、ドメイン コントローラーでアカウント情報を上書きする権限が必要です。 パスワードの再設定は、ユーザーが特定のパスワードを忘れた場合、または知らない場合に、システム管理者が行います。 パスワードの再設定にのみ、対称キーの復元が必要となります。 アカウント パスワードの定期的な変更には、対称キーの再設定は必要ありません。

  • レポート サーバーをホストするコンピューターまたはインスタンスの名前変更 (レポート サーバー インスタンスは SQL Server インスタンス名に基づいています)。

  • レポート サーバー インストールの移行または別のレポート サーバー データベースを使用するようにレポート サーバーを構成。

  • ハードウェア障害による、レポート サーバー インストールの復旧。

対称キーに必要なバックアップのコピーは 1 つだけです。 レポート サーバー データベースと対称キーは、一対一で対応します。 必要なバックアップのコピーは 1 つだけですが、スケールアウト配置モデルで複数のレポート サーバーを起動している場合には、複数回キーを復元する必要が生じる場合があります。 各レポート サーバー インスタンスは、レポート サーバー データベースでデータをロックおよびロック解除するために対称キーのコピーが必要になります。

暗号化キーのバックアップ

対称キーのバックアップは、指定するファイルにキーを書き込み、指定したパスワードを使用してそのキーにスクランブルをかける処理です。 対称キーが暗号化されていない状態で格納されることはないので、ディスクに格納する際は、キーを暗号化するためのパスワードを指定する必要があります。 ファイルの作成後、セキュリティで保護された場所にファイルを保存します。ファイルのロックを解除するために使用する パスワードを覚えておく 必要があります。 対称キーをバックアップするために、次のツールを使用できます。

ネイティブ モード: Reporting Services 構成マネージャーか rskeymgmt ユーティリティのどちらか。

SharePoint モード: SharePoint サーバーの全体管理ページまたは PowerShell。

SharePoint モードのレポート サーバーのバックアップ

SharePoint モードのレポート サーバーの場合は、PowerShell コマンドを使用するか、または Reporting Services サービス アプリケーションの管理ページを使用します。 詳細については、「Reporting Services SharePoint サービス アプリケーションの管理」の「キー管理」のセクションを参照してください。

暗号化キーのバックアップ - Reporting Services 構成マネージャー (ネイティブ モード)

  1. Reporting Services 構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。

  2. [暗号化キー]をクリックし、次に [バックアップ]をクリックします。

  3. 複雑なパスワードを入力します。

  4. 格納されたキーを含むファイルを指定します。 Reporting Services では、ファイルに .snk ファイル拡張子が付けられます。 このファイルを、レポート サーバーとは別のディスクに保存することを検討してください。

  5. [OK] をクリックします。

暗号化キーのバックアップ - rskeymgmt (ネイティブ モード)

  1. レポート サーバーをホストするコンピューターのローカルで rskeymgmt.exe を実行します。 抽出用の -e 引数を使用してキーをコピーし、ファイル名を入力して、パスワードを指定する必要があります。 指定する必要がある引数の例を次に示します。

    rskeymgmt -e -f d:\rsdbkey.snk -p<password>  
    

暗号化キーの復元

対称キーを復元すると、レポート サーバー データベースに格納されている既存の対称キーを上書きします。 暗号化キーを復元すると、使用できないキーが以前ディスクに格納したコピーと置き換わります。 暗号化キーを復元することにより、次の処理が行われます。

  • パスワードで保護されたバックアップ ファイルで対称キーが開きます。

  • レポート サーバー Windows サービスの公開キーを使用して、対称キーが暗号化されます。

  • 暗号化された対称キーがレポート サーバー データベースに格納されます。

  • 以前格納した対称キー データ (以前の配置から既にレポート サーバー データベースにあったキー情報など) は削除されます。

暗号化キーを復元するには、暗号化キーのコピーがファイルにある必要があります。 また、格納したコピーのロックを解除するパスワードを知っている必要もあります。 キーおよびパスワードがある場合、Reporting Services 構成ツールまたは rskeymgmt ユーティリティを実行して、キーを復元できます。 対称キーは、レポート サーバー データベースに現在格納されている暗号化されたデータをロックおよびロック解除するキーと同じものである必要があります。 有効ではないコピーを復元すると、レポート サーバーは、レポート サーバー データベースに現在格納されている暗号化されたデータにアクセスできません。 暗号化されたデータにアクセスできず、有効なキーを復元できない場合、すべての暗号化された値を削除する必要が生じることがあります。 なんらかの理由で暗号化キーを復元できない場合 (バックアップ コピーがない場合など)、既存のキーおよび暗号化されたコンテンツを削除する必要があります。 詳細については、「暗号化キーの削除と再作成 (SSRS Configuration Manager)」を参照してください。 対称キーの作成の詳細については、「レポート サーバーの初期化 (SSRS Configuration Manager)」を参照してください。

暗号化キーの復元 - Reporting Services 構成マネージャー (ネイティブ モード)

  1. Reporting Services 構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。

  2. [暗号化キー] ページで、[ 復元] をクリックします。

  3. バックアップ コピーを含む .snk ファイルを選択します。

  4. ファイルのロックを解除するパスワードを入力します。

  5. [OK] をクリックします。

暗号化キーの復元 - rskeymgmt (ネイティブ モード)

  1. レポート サーバーをホストするコンピューターのローカルで rskeymgmt.exe を実行します。 キーを復元するには、-a 引数を使用します。 完全修飾ファイル名を入力し、パスワードを指定する必要があります。 指定する必要がある引数の例を次に示します。

    rskeymgmt -a -f d:\rsdbkey.snk -p<password>  
    

参照

暗号化キーの構成と管理 (SSRS 構成マネージャー)