• Статья

Создание резервных копий и восстановление ключей шифрования

Одним из важных аспектов конфигурирования сервера отчетов является создание резервной копии симметричного ключа, используемого для шифрования конфиденциальных данных. Резервная копия ключа требуется для выполнения многих распространенных операций и позволяет повторно использовать базу данных существующего сервера отчетов в новом сервере. Восстанавливать резервную копию ключа шифрования нужно в ответ на любое из следующих событий:

  • Изменение имени учетной записи Windows-службы сервера отчетов или переназначение пароля. Когда используется программа настройки служб Reporting Services, создание резервной копии ключа входит в операцию изменения имени учетной записи службы.

    ПримечаниеПримечание

    Переназначение пароля и изменение пароля — не одно и то же. Для переназначения пароля необходимо разрешение на перезапись учетных данных в контроллере домена. Переназначение пароля выполняется системным администратором в том случае, если пользователь забывает или не знает конкретный пароль. Восстановление симметричного ключа требуется только при переназначении паролей. При периодическом изменении пароля учетной записи переназначать симметричный ключ не нужно.

  • Переименование компьютера или экземпляра, на котором размещен сервер отчетов (экземпляр сервера отчетов связан с именем экземпляра SQL Server).

  • Выполнение миграции сервера отчетов или настройка сервера отчетов на использование другой базы данных сервера отчетов.

  • Восстановление сервера отчетов по журналу после аппаратного сбоя.

Необходимо создать только одну резервную копию симметричного ключа. Между базой данных сервера отчетов и симметричным ключом имеется однозначное соответствие. Несмотря на то, что необходимо создать только одну резервную копию ключа, восстанавливать ключ, возможно, придется несколько раз, если выполняется несколько серверов отчетов, использующих модель масштабного развертывания. Каждому экземпляру сервера отчетов потребуется своя копия симметричного ключа для блокирования и разблокирования данных в базе данных сервера отчетов.

Создание резервных копий ключей шифрования на диске

Созданием резервной копии симметричного ключа называют процесс, в ходе которого ключ записывается в указанный файл, после чего шифруется с использованием заданного пароля. Симметричный ключ не может быть сохранен в незашифрованном состоянии, поэтому при его сохранении на диске необходимо указать пароль для шифрования ключа. После создания файла необходимо сохранить его в безопасном месте и запомнить пароль, служащий для разблокирования файла. Для создания резервной копии симметричного ключа можно использовать или программу настройки служб Reporting Services, или программу rskeymgmt.

Как создать резервную копию ключа шифрования (программа настройки служб Reporting Services)

  1. Запустите программу настройки служб Reporting Services и подключитесь к экземпляру сервера отчетов, который нужно настроить.

  2. Щелкните Ключи шифрования, а затем — Создать резервную копию.

  3. Введите надежный пароль.

  4. Укажите файл, предназначенный для сохранения ключа. Службами Службы Reporting Services к имени файла будет добавлено расширение SNK. Подумайте о том, не следует ли записать файл на дискету, чтобы не хранить его на компьютере, на котором выполняется сервер отчетов.

  5. Нажмите кнопку ОК.

Как создать резервную копию ключа шифрования (программа rskeymgmt)

  1. Если защищенный паролем файл должен храниться не на сервере отчетов, вставьте дискету в дисковод.

  2. На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe. Укажите для копирования ключа аргумент -e, задайте имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере.

    rskeymgmt -e -f a:\rsdbkey.snk -p<password>

  3. Сохраните дискету в безопасном месте.

Восстановление ключей шифрования

При восстановлении симметричного ключа выполняется перезапись существующего симметричного ключа, хранящегося в базе данных сервера отчетов. В результате восстановления ключа шифрования неиспользуемый ключ заменяется копией, которая ранее была сохранена на диске. Восстановление ключа шифрования складывается из следующих операций:

  • Из защищенного паролем файла резервной копии ключа извлекается симметричный ключ.

  • Симметричный ключ шифруется с использованием открытого ключа Windows-службы сервера отчетов.

  • Зашифрованный симметричный ключ сохраняется в базе данных сервера отчетов.

  • Данные симметричного ключа, которые хранились в базе данных до этого (например, данные ключа, которые была записаны в базу данных сервера отчетов при развертывании предыдущего экземпляра), удаляются.

Для восстановления ключа шифрования необходим файл с копией ключа. Кроме того, необходимо знать пароль, позволяющий разблокировать хранимую копию ключа. Если эти условия выполнены, можно запустить для восстановления ключа программу настройки служб Reporting Services или программу rskeymgmt. Симметричный ключ должен быть тем же, что служит и для блокирования и разблокирования зашифрованного содержимого, хранящегося в базе данных сервера отчетов. При попытке восстановления некорректной копии ключа сервер отчетов не сможет получить доступ к зашифрованным данным, хранящимся в базе данных сервера отчетов. В этом случае, возможно, придется удалить все зашифрованные значения, если не получится восстановить корректный ключ. Если в силу той или иной причины восстановить ключ шифрования не удается (например, нет резервной копии ключа), существующий ключ и зашифрованные данные необходимо удалить. Дополнительные сведения см. в разделе Удаление и повторное создание ключей шифрования. Дополнительные сведения о создании симметричных ключей см. в разделе Инициализация сервера отчетов.

Как восстановить ключ шифрования (программа настройки служб Reporting Services)

  1. Запустите программу настройки служб Reporting Services и подключитесь к экземпляру сервера отчетов, который нужно настроить.

  2. На странице «Ключи шифрования» щелкните Восстановить.

  3. Выберите SNK-файл, содержащий резервную копию ключа.

  4. Введите пароль, позволяющий разблокировать файл.

  5. Нажмите кнопку ОК.

Как восстановить ключ шифрования (программа rskeymgmt)

  1. Вставьте в дисковод дискету с резервной копией ключа шифрования.

  2. На компьютере, на котором выполняется сервер отчетов, запустите программу rskeymgmt.exe. Укажите для восстановления ключа аргумент -a. Необходимо указать полностью определенное имя файла и пароль. Аргументы, которые необходимо задать, приведены в следующем примере:

    rskeymgmt -a -f a:\rsdbkey.snk -p<password>