TDE प्रस्तुत करने का: पुनर्स्थापित करने के लिए कुंजी / प्रमाणपत्र बैकअप

10

मैं TDEएन्क्रिप्शन को बेहतर ढंग से समझने के लिए एक समर्पित वातावरण में काम कर रहा हूं । मेरे पास बैकअप के साथ काम कर रहा है और किसी अन्य सर्वर पर पुनर्स्थापित करता है। कुछ सवाल थे, मुझे पता है कि मुझे संबंधित निजी कुंजी के साथ प्रमाणपत्र का बैकअप लेने की आवश्यकता है।

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

विफलता की स्थिति में नए सर्वर पर इन्हें स्थानांतरित / बहाल करना होगा। क्या कुछ और है जो मुझे स्रोत सर्वर से बैकअप की आवश्यकता है जो किसी अन्य सर्वर को पुनर्स्थापित करने की आवश्यकता की स्थिति में आवश्यक होगा?

इसके अलावा निजी कुंजी भंडारण पर कोई सुझाव? इस समय मेरा विचार एक KeePass डेटाबेस के लिए प्रमाणपत्र, निजी कुंजी और पासवर्ड का बैकअप लेना है, जो अलग से बैकअप लिया गया है और ऑफ-साइट को दोहराया गया है।

हालांकि यह सवाल छोड़ देता है कि KeePass निजी कुंजी का बैकअप कहां से लें?

sql-server  encryption  transparent-data-encryption 
थोरिन
स्रोत

जवाबों:

5

यदि आप किसी भिन्न सर्वर पर पुनर्स्थापित करना चाहते हैं, तो आपको प्रमाणपत्र, निजी कुंजी और डेटाबेस बैकअप फ़ाइल (एस) के साथ ऐसा करने में सक्षम होना चाहिए।

जब SQL सर्वर में किसी डेटाबेस में एक प्रमाणपत्र बनाया जाता है, तो यह एन्क्रिप्शन पदानुक्रम का हिस्सा होता है । मास्टर डेटाबेस में प्रमाण पत्र में केवल एक सार्वजनिक कुंजी होती है, जिसे किसी सुरक्षा की आवश्यकता नहीं होती है, हालांकि, मास्टर डेटाबेस में एक अलग लेकिन गणितीय रूप से संबंधित निजी कुंजी होगी जिसे संरक्षित करने की आवश्यकता है। निजी कुंजी को सुरक्षित रखने का तरीका यह है कि आप प्रमाणपत्र बनाने से पहले मास्टर डेटाबेस में बनाई गई डेटाबेस मास्टर कुंजी का उपयोग करके इसे एन्क्रिप्ट करें। एन्क्रिप्शन पदानुक्रम में अगली परत यह है कि DMK सेवा मास्टर कुंजी द्वारा एन्क्रिप्ट किया गया है। सिस्टम पर केवल एक SMK है और यह मास्टर डेटाबेस में है।

भले ही आपको दूसरे सर्वर पर एन्क्रिप्टेड बैकअप को पुनर्स्थापित करने के लिए डीएमके और एसएमके की आवश्यकता नहीं है, फिर भी मैं इन दोनों चाबियों को वापस कर दूंगा क्योंकि यह वसूली को और अधिक लचीला बनाता है।

जब आप मास्टर डेटाबेस के लिए बैकअप एन्क्रिप्शन सर्टिफिकेट को पुनर्स्थापित करते हैं, तो पर्दे के पीछे क्या होता है, फ़ाइल से निजी कुंजी को पढ़ा जाता है, डिक्रिप्टेड पासवर्ड जिसे आप रिस्टोर कमांड में प्रदान करते हैं, तब डेटाबेस मास्टर कुंजी का उपयोग करके एन्क्रिप्ट किया जाता है और सहेजा जाता है। जैसा कि आप जानते हैं, प्रमाणपत्र से निजी कुंजी का उपयोग तब बैकअप फ़ाइल में डेटाबेस एन्क्रिप्शन कुंजी को डीक्रिप्ट करने और डेटाबेस को सफलतापूर्वक पुनर्स्थापित करने के लिए किया जा सकता है।

मेरे पास प्रमाणपत्र और मुख्य बैकअप फ़ाइलों को संग्रहीत करने के लिए कोई विशेष अनुशंसा नहीं है, लेकिन उन्हें आपके लिए उपलब्ध होने की आवश्यकता है और जो भी आपके संगठन में आपदा वसूली करता है।

माइकल केल्हेर
स्रोत
1

डेनी चेरी की पुस्तक सिक्योरिंग एसक्यूएल सर्वर में मुझे प्रमाणपत्रों के बैकअप के लिए एक सुरक्षा सर्वोत्तम अभ्यास मिला:

  • दो अलग-अलग सीडी पर प्रमाणपत्र बैकअप जलाएं
  • प्रत्येक सीडी को एक मोहरबंद और हस्ताक्षरित लिफाफे में रखें
  • लिफाफे को चिह्नित करें कि ये प्रमाण पत्र किस प्रणाली के लिए हैं
  • एक सीडी को कंपनी के प्रबंधक के कार्यालय में सुरक्षित रखें
  • दूसरे सीडी ऑफ़साइट को किसी अन्य सुरक्षित स्थान पर संग्रहीत करें
Poldba
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.