ALTER SERVICE MASTER KEY (Transact-SQL)
Modifica la chiave master del servizio di un'istanza di SQL Server.
.gif "Icona di collegamento a un argomento")
Convenzioni della sintassi Transact-SQL
Sintassi
ALTER SERVICE MASTER KEY
[ { <regenerate_option> | <recover_option> } ]
|
[ { ADD | DROP } ENCRYPTION BY MACHINE KEY ]
<regenerate_option> ::=
[ FORCE ] REGENERATE
<recover_option> ::=
{ WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }
|
{ WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }
Argomenti
- FORCE
Indica che la chiave master del servizio deve essere rigenerata, anche a rischio di perdita dei dati. Per ulteriori informazioni, vedere Modifica dell'account del servizio SQL Server di seguito in questo argomento.
- REGENERATE
Indica che la chiave master del servizio deve essere rigenerata.
- OLD_ACCOUNT ='account_name'
Specifica il nome dell'account di servizio Windows precedente.
- OLD_PASSWORD ='password'
Specifica la password dell'account di servizio Windows precedente.
- NEW_ACCOUNT ='account_name'
Specifica il nome del nuovo account di servizio Windows.
- NEW_PASSWORD ='password'
Specifica la password del nuovo account di servizio Windows.
Osservazioni
La chiave master del servizio viene generata automaticamente la prima volta che risulta necessaria per crittografare la password di un server collegato, una credenziale o la chiave master del database. La chiave master del servizio viene crittografata mediante la chiave del computer locale o l'API Windows per la protezione dei dati. Questa API utilizza una chiave derivata dalle credenziali di Windows dell'account del servizio SQL Server.
La chiave master del servizio può essere decrittografata solo dall'account del servizio con cui è stata creata o da un'entità autorizzata ad accedere alle credenziali di Windows di tale account del servizio. Per questo motivo, se si modifica l'account di Windows utilizzato per l'esecuzione del servizio SQL Server è necessario impostare anche il nuovo account per consentire la decrittografia della chiave master del servizio.
Modifica dell'account del servizio SQL Server
Per modificare l'account di servizio SQL Server, utilizzare Gestione configurazione SQL Server. Per gestire una modifica dell'account di servizio, SQL Server archivia una copia ridondante della chiave master di servizio protetta dall'account del computer che dispone delle autorizzazioni necessarie per il gruppo di servizi SQL Server. Se il computer viene ricostruito, la chiave master di servizio può essere recuperata dallo stesso utente di dominio che era stato precedentemente utilizzato dall'account di servizio. Questa procedura non è valida per gli account locali o per l'account Sistema locale, Servizio locale o Servizio di rete. Quando SQL Server viene spostato in un altro computer, migrare la chiave master di servizio utilizzando le operazioni di backup e ripristino.
L'istruzione REGENERATE consente di rigenerare la chiave master del servizio. In seguito alla rigenerazione della chiave master del servizio, SQL Server decrittografa tutte le chiavi crittografate con tale chiave e quindi le crittografa con la nuova chiave master del servizio. Si tratta di un'operazione che utilizza molte risorse e pertanto dovrebbe essere pianificata in periodi di carico ridotto, a meno che la chiave non sia stata compromessa. In caso di esito negativo di una qualsiasi delle operazioni di decrittografia, l'intera istruzione avrà esito negativo.
L'opzione FORCE consente di continuare il processo di rigenerazione della chiave anche se non è possibile recuperare la chiave master corrente o decrittografare tutte le chiavi private crittografate con tale chiave master. Utilizzare l'opzione FORCE solo se la rigenerazione non riesce e se non è possibile ripristinare la chiave master del servizio tramite l'istruzione RESTORE SERVICE MASTER KEY.
.gif "ms187788.Caution(it-it,SQL.90).gif") Attenzione: |
|---|
| La chiave master del servizio è l'elemento principale della gerarchia di crittografia di SQL Server. Con la chiave master del servizio vengono protetti direttamente o indirettamente tutte le altre chiavi e tutti i secreti nella gerarchia. Se non è possibile decrittografare una chiave dipendente durante una rigenerazione forzata, i dati protetti dalla chiave andranno perduti. |
Le opzioni di MACHINE KEY consentono di aggiungere o rimuovere la crittografia mediante la chiave del computer.
Autorizzazioni
È richiesta l'autorizzazione CONTROL SERVER per il server.
Esempi
Nell'esempio seguente viene rigenerata la chiave master del servizio.
ALTER SERVICE MASTER KEY REGENERATE;
GO
Vedere anche
Riferimento
RESTORE SERVICE MASTER KEY (Transact-SQL)
BACKUP SERVICE MASTER KEY (Transact-SQL)