服务主密钥
服务主密钥为 SQL Server 加密层次结构的根。 服务主密钥是首次需要它来加密其他密钥时自动生成的。 默认情况下,服务主密钥使用 Windows 数据保护 API 和本地计算机密钥进行加密。 只有创建服务主密钥的 Windows 服务帐户或有权访问服务帐户名称和密码的主体能够打开服务主密钥。
重新生成或还原服务主密钥涉及解密和重新加密完整的加密层次结构的操作。 除非危及到该密钥的安全性,否则应该在需求较低的时间段内安排这种占用大量资源的操作。
SQL Server 2012 使用 AES-256 加密算法来保护服务主密钥 (SMK) 和数据库主密钥 (DMK)。 AES 是一种比早期版本中使用的 3DES 更新的加密算法。 在将数据库引擎实例升级到 SQL Server 2012 后,应重新生成 SMK 和 DMK 以便将主密钥升级到 AES。 有关重新生成 SMK 的详细信息,请参阅 ALTER SERVICE MASTER KEY (Transact-SQL) 和 ALTER MASTER KEY (Transact-SQL)。
最佳实践
备份服务主密钥并将备份副本存储在另外一个安全位置。
相关任务
BACKUP SERVICE MASTER KEY (Transact-SQL)
RESTORE SERVICE MASTER KEY (Transact-SQL)
ALTER SERVICE MASTER KEY (Transact-SQL)