SSRS-Verschlüsselungsschlüssel: Sichern und Wiederherstellen

Gilt für: SQL Server 2016 (13.x) und höhere Versionen

Das Erstellen einer Sicherungskopie des symmetrischen Schlüssels, der zum Verschlüsseln sensibler Informationen verwendet wird, ist ein wichtiger Bestandteil der Berichtsserverkonfiguration. Eine Sicherungskopie des Schlüssels ist für viele Routinevorgänge erforderlich und ermöglicht Ihnen das Wiederverwenden einer vorhandenen Berichtsserver-Datenbank in einer neuen Installation.

Gilt für: Reporting Services Einheitlicher Modus | Reporting Services SharePoint-Modus

Das Wiederherstellen der Sicherungskopie des Verschlüsselungsschlüssels ist nach folgenden Ereignissen erforderlich:

• Ändern des Kontonamens des Report Server-Windows-Dienstes oder Zurücksetzen des Kennwortes. Wenn Sie den Berichtsserver-Konfigurations-Manager verwenden, wird der Schlüssel beim Ändern des Dienstkontonamens automatisch gesichert.

  Hinweis

  Das Zurücksetzen des Kennwortes ist nicht dasselbe wie das Ändern des Kennwortes. Für das Zurücksetzen eines Kennwortes ist eine Berechtigung zum Überschreiben von Kontoinformationen auf dem Domänencontroller erforderlich. Das Zurücksetzen von Kennwörtern wird von einem Systemadministrator ausgeführt, wenn Sie ein bestimmtes Kennwort vergessen oder nicht kennen. Nur das Zurücksetzen von Kennwörtern erfordert das Wiederherstellen des symmetrischen Schlüssels. Wenn Sie das Kennwort für ein Konto regelmäßig ändern, müssen Sie den symmetrischen Schlüssel nicht zurücksetzen.

• Umbenennen des Computers oder der Instanz, der bzw. die den Berichtsserver hostet (eine Berichtsserverinstanz beruht auf dem Namen einer SQL Server -Instanz).

• Migrieren einer Berichtsserverinstallation oder Konfigurieren eines Berichtsservers für das Verwenden einer anderen Berichtsserver-Datenbank.

• Wiederherstellen einer Berichtsserverinstallation nach einem Hardwarefehler.

Sie müssen lediglich eine einzige Kopie des symmetrischen Schlüssels sichern. Es besteht eine 1:1-Entsprechung zwischen einer Berichtsserver-Datenbank und einem symmetrischen Schlüssel. Obwohl nur eine einzige Kopie gesichert werden muss, müssen Sie den Schlüssel unter Umständen mehrmals wiederherstellen, falls mehrere Berichtsserver in einem Bereitstellungsmodell für horizontales Skalieren ausgeführt werden. Jede Berichtsserverinstanz benötigt jeweils eine Kopie des symmetrischen Schlüssels zum Sperren und Entsperren von Daten in der Berichtsserver-Datenbank.

Beim Sichern des symmetrischen Schlüssels wird der Schlüssel in die von Ihnen angegebene Datei geschrieben. Anschließend wird der Schlüssel mithilfe des von Ihnen angegebenen Kennwortes verschlüsselt. Der symmetrische Schlüssel darf keinesfalls unverschlüsselt gespeichert werden, d. h., Sie müssen beim Speichern auf einem Datenträger ein Kennwort angeben, um den Schlüssel zu verschlüsseln. Sie sollten die erstellte Datei an einem sicheren Ort speichern und sich das Kennwort zum Entsperren der Datei unbedingt merken . Zum Sichern des symmetrischen Schlüssels können Sie die folgenden Tools verwenden:

Einheitlicher Modus: Entweder den Berichtsserver-Konfigurations-Manager oder das Hilfsprogramm rskeymgmt.

Sichern von Verschlüsselungsschlüsseln mit dem Berichtsserver-Konfigurations-Manager (einheitlicher Modus)

1. Starten Sie den Konfigurations-Manager für den Berichtsserver, und stellen Sie anschließend eine Verbindung mit der zu konfigurierenden Berichtsserverinstanz her.

2. Klicken Sie auf Verschlüsselungsschlüssel, und klicken Sie dann auf Sichern.

3. Geben Sie ein sicheres Kennwort ein.

4. Geben Sie eine Datei an, die den gespeicherten Schlüssel enthalten soll. Reporting Services fügt die Dateierweiterung .snk an die Datei an. Sie sollten die Datei auf einem Datenträger speichern, sodass sie vom Berichtsserver getrennt ist.

5. Klicken Sie auf OK.

Sichern von Verschlüsselungsschlüsseln mit -rskeymgmt (einheitlicher Modus)

1. Führen Sie rskeymgmt.exe lokal auf dem Computer aus, der den Berichtsserver hostet. Sie müssen das Extrahierungsargument -e verwenden, um den Schlüssel zu kopieren, sowie einen Dateinamen und ein Kennwort angeben. Das folgende Beispiel veranschaulicht die anzugebenden Argumente:

   rskeymgmt -e -f d:\rsdbkey.snk -p<password>  
   

Wiederherstellen von Verschlüsselungsschlüsseln

Beim Wiederherstellen des symmetrischen Schlüssels wird der vorhandene symmetrische Schlüssel überschrieben, der in der Berichtsserver-Datenbank gespeichert ist. Durch das Wiederherstellen eines Verschlüsselungsschlüssels wird ein unbrauchbarer Schlüssel durch eine Kopie ersetzt, die Sie vorher auf einem Datenträger gespeichert haben. Dabei werden die folgenden Aktionen durchgeführt:

• Der symmetrische Schlüssel wird über die kennwortgeschützte Sicherungsdatei geöffnet.

• Der symmetrische Schlüssel wird mithilfe des öffentlichen Schlüssels des Report Server-Windows-Dienstes verschlüsselt.

• Der verschlüsselte symmetrische Schlüssel wird in der Berichtsserver-Datenbank gespeichert.

• Die zuvor gespeicherten Daten für den symmetrischen Schlüssel (z. B. Schlüsselinformationen, die aus einer vorherigen Bereitstellung bereits in der Berichtsserver-Datenbank gespeichert waren) werden gelöscht.

Zum Wiederherstellen des Verschlüsselungsschlüssels benötigen Sie eine Kopie des Verschlüsselungsschlüssels in einer Datei. Außerdem müssen Sie das Kennwort zum Entsperren der gespeicherten Kopie kennen. Wenn Sie den Schlüssel und das Kennwort haben, können Sie den Schlüssel mithilfe des Reporting Services-Konfigurationstools oder des Hilfsprogramms rskeymgmt wiederherstellen. Beim symmetrischen Schlüssel muss es sich um denselben Schlüssel handeln, der zum Sperren oder Entsperren der verschlüsselten Daten verwendet werden kann, die zurzeit in der Berichtsserver-Datenbank gespeichert sind. Wenn Sie eine ungültige Kopie wiederherstellen, kann der Berichtsserver nicht auf die verschlüsselten Daten zugreifen, die zurzeit in der Berichtsserver-Datenbank gespeichert sind. In diesem Fall müssen Sie unter Umständen alle verschlüsselten Werte löschen, falls Sie keinen gültigen Schlüssel wiederherstellen können. Falls Sie den Verschlüsselungsschlüssel aus irgendeinem Grund nicht wiederherstellen können (z. B. wenn Sie nicht über eine Sicherungskopie verfügen), müssen Sie den vorhandenen Schlüssel und die verschlüsselten Inhalte löschen. Weitere Informationen finden Sie unter Löschen und erneutes Erstellen von Verschlüsselungsschlüsseln (Berichtsserver-Konfigurations-Manager). Weitere Informationen zum Erstellen von symmetrischen Schlüsseln finden Sie unter Initialisieren eines Berichtsservers (Berichtsserver-Konfigurations-Manager).

Wiederherstellen von Verschlüsselungsschlüsseln mit dem Berichtsserver-Konfigurations-Manager (einheitlicher Modus)

1. Starten Sie den Konfigurations-Manager für den Berichtsserver, und stellen Sie anschließend eine Verbindung mit der zu konfigurierenden Berichtsserverinstanz her.

2. Klicken Sie auf der Seite „Verschlüsselungsschlüssel“ auf Wiederherstellen.

3. Wählen Sie die SNK-Datei aus, in der die Sicherungskopie enthalten ist.

4. Geben Sie das Kennwort zum Entsperren der Datei ein.

5. Klicken Sie auf OK.

Wiederherstellen von Verschlüsselungsschlüsseln mit -rskeymgmt (einheitlicher Modus)

1. Führen Sie rskeymgmt.exe lokal auf dem Computer aus, der den Berichtsserver hostet. Verwenden Sie das Argument -a , um die Schlüssel wiederherzustellen. Sie müssen einen vollqualifizierten Dateinamen und ein Kennwort angeben. Das folgende Beispiel veranschaulicht die anzugebenden Argumente:

   rskeymgmt -a -f d:\rsdbkey.snk -p<password>  
   

Weitere Informationen

Konfigurieren und Verwalten von Verschlüsselungsschlüsseln (Berichtsserver-Konfigurations-Manager)