Резервное копирование и восстановление ключей шифрования служб Reporting Services
Одним из важных аспектов конфигурирования сервера отчетов является создание резервной копии симметричного ключа, используемого для шифрования конфиденциальных данных. Резервная копия ключа требуется для выполнения многих распространенных операций и позволяет повторно использовать базу данных существующего сервера отчетов в новом сервере.
Применимо к: Reporting Services в собственном режиме | Reporting Services в режиме интеграции с SharePoint
Восстанавливать резервную копию ключа шифрования нужно в ответ на любое из следующих событий:
Изменение имени учетной записи Windows-службы сервера отчетов или переназначение пароля. Когда используется диспетчер конфигурации служб Reporting Services, создание резервной копии ключа входит в операцию изменения имени учетной записи службы.
Примечание
Переназначение пароля и изменение пароля — не одно и то же. Для переназначения пароля необходимо разрешение на перезапись учетных данных в контроллере домена. Переназначение пароля выполняется системным администратором в том случае, если пользователь забывает или не знает конкретный пароль. Восстановление симметричного ключа требуется только при переназначении паролей. При периодическом изменении пароля учетной записи переназначать симметричный ключ не нужно.
Переименование компьютера или экземпляра, на котором размещен сервер отчетов (экземпляр сервера отчетов связан с именем экземпляра SQL Server ).
Выполнение миграции сервера отчетов или настройка сервера отчетов на использование другой базы данных сервера отчетов.
Восстановление сервера отчетов по журналу после аппаратного сбоя.
Необходимо создать только одну резервную копию симметричного ключа. Между базой данных сервера отчетов и симметричным ключом имеется однозначное соответствие. Несмотря на то, что необходимо создать только одну резервную копию ключа, восстанавливать ключ, возможно, придется несколько раз, если выполняется несколько серверов отчетов, использующих модель масштабного развертывания. Каждому экземпляру сервера отчетов потребуется своя копия симметричного ключа для блокирования и разблокирования данных в базе данных сервера отчетов.
Создание резервных копий ключей шифрования
Созданием резервной копии симметричного ключа называют процесс, в ходе которого ключ записывается в указанный файл, после чего шифруется с использованием заданного пароля. Симметричный ключ не может быть сохранен в незашифрованном состоянии, поэтому при его сохранении на диске необходимо указать пароль для шифрования ключа. После создания файла необходимо сохранить его в безопасном месте и запомнить пароль , служащий для разблокирования файла. Для создания резервной копии симметричного ключа можно использовать следующие средства:
Основной режим. Диспетчер конфигурации служб Reporting Services или программа rskeymgmt .
Режим SharePoint. Страницы центра администрирования SharePoint или PowerShell.
Резервное копирование серверов отчетов в режиме интеграции с SharePoint
Для серверов отчетов, работающих в режиме интеграции с SharePoint, можно использовать команды PowerShell или страницы управления для приложений служб Службы Reporting Services . Дополнительные сведения см. в разделе "Управление ключами" статьи Управление служебным приложением SharePoint службы Reporting Services.
Резервное копирование ключей шифрования — диспетчер служб Reporting Services (собственный режим)
Запустите диспетчер конфигурации служб Reporting Services и подключитесь к экземпляру сервера отчетов, который нужно настроить.
Щелкните Ключи шифрования, а затем — Создать резервную копию.
Введите надежный пароль.
Укажите файл, предназначенный для сохранения ключа. Службы Reporting Services к имени файла будет добавлено расширение SNK. Возможно, лучше будет записать файл на диск, чтобы не хранить его на компьютере, где запускается сервер отчетов.
Нажмите кнопку ОК.
Резервное копирование ключей шифрования — rskeymgmt (собственный режим)
На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe . Укажите для копирования ключа аргумент
-e
, задайте имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере.rskeymgmt -e -f d:\rsdbkey.snk -p<password>
Восстановление ключей шифрования
При восстановлении симметричного ключа выполняется перезапись существующего симметричного ключа, хранящегося в базе данных сервера отчетов. В результате восстановления ключа шифрования неиспользуемый ключ заменяется копией, которая ранее была сохранена на диске. Восстановление ключа шифрования складывается из следующих операций:
Из защищенного паролем файла резервной копии ключа извлекается симметричный ключ.
Симметричный ключ шифруется с использованием открытого ключа Windows-службы сервера отчетов.
Зашифрованный симметричный ключ сохраняется в базе данных сервера отчетов.
Данные симметричного ключа, которые хранились в базе данных до этого (например, данные ключа, которые была записаны в базу данных сервера отчетов при развертывании предыдущего экземпляра), удаляются.
Для восстановления ключа шифрования необходим файл с копией ключа. Кроме того, необходимо знать пароль, позволяющий разблокировать хранимую копию ключа. Если эти условия выполнены, для восстановления ключа можно запустить средство настройки служб Reporting Services или программу rskeymgmt . Симметричный ключ должен быть тем же, что служит и для блокирования и разблокирования зашифрованного содержимого, хранящегося в базе данных сервера отчетов. При попытке восстановления некорректной копии ключа сервер отчетов не сможет получить доступ к зашифрованным данным, хранящимся в базе данных сервера отчетов. В этом случае, возможно, придется удалить все зашифрованные значения, если не получится восстановить корректный ключ. Если в силу той или иной причины восстановить ключ шифрования не удается (например, нет резервной копии ключа), существующий ключ и зашифрованные данные необходимо удалить. Дополнительные сведения см. в статье Удаление и повторное создание ключей шифрования (Configuration Manager SSRS). Дополнительные сведения о создании симметричного ключа см. в статье Инициализация сервера отчетов (SSRS Configuration Manager).
Восстановление ключей шифрования — диспетчер конфигурации служб Reporting Services (собственный режим)
Запустите диспетчер конфигурации служб Reporting Services и подключитесь к экземпляру сервера отчетов, который нужно настроить.
На странице Ключи шифрования нажмите кнопку Восстановить.
Выберите SNK-файл, содержащий резервную копию ключа.
Введите пароль, позволяющий разблокировать файл.
Нажмите кнопку ОК.
Восстановление ключей шифрования — rskeymgmt (собственный режим)
На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe . Укажите для восстановления ключа аргумент
-a
. Необходимо указать полностью определенное имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере.rskeymgmt -a -f d:\rsdbkey.snk -p<password>
См. также:
Настройка ключей шифрования и управление ими (диспетчер конфигурации служб SSRS)