服務主要金鑰
服務主要金鑰是 SQL Server 加密階層的根。 第一次需要利用這種金鑰來加密其他金鑰時,便會自動產生服務主要金鑰。 依預設,服務主要金鑰是以 Windows 資料保護 API 以及本機電腦金鑰加密。 服務主要金鑰只能由建立此金鑰的 Windows 服務帳戶來開啟,或是由可存取服務帳戶名稱及其密碼的主體來開啟。
重新產生或還原服務主要金鑰包括解密與重新加密完整的加密階層。 除非該金鑰已經洩密,才應該在資源需求低的時段,排程進行此項會耗用大量資源的作業。
SQL Server 2014 使用 AES 加密演算法來保護服務主要金鑰, (SMK) 和資料庫主要金鑰 (DMK) 。 與舊版中使用的 3DES 相比,AES 是一種較新的加密演算法。 將 Database Engine 實例升級為 SQL Server 2014 之後,應該重新產生 SMK 和 DMK,才能將主要金鑰升級至 AES。 如需重新產生 SMK 的詳細資訊,請參閱 ALTER SERVICE MASTER KEY (Transact-SQL) 和 ALTER MASTER KEY (Transact-SQL) 。
最佳做法
備份服務主要金鑰,然後在一個安全且位於異地的位置存放此金鑰備份。
相關工作
BACKUP SERVICE MASTER KEY (Transact-SQL)
RESTORE SERVICE MASTER KEY (Transact-SQL)
ALTER SERVICE MASTER KEY (Transact-SQL)