前几天研究了一下sql数据库的透明加密,记下来加深一下理解.
用脚本创建文件夹
1 --查文件夹有没有
2 EXEC master.dbo.xp_fileexist 'D:\DATA\storedcerts'
3 EXEC master.dbo.xp_fileexist 'D:\DATA\storedkeys'
4
5 --开启系统存储过程高级选项
6 EXEC sp_configure 'show advanced options',1
7 GO
8 RECONFIGURE
9 GO
10 EXEC sp_configure 'xp_cmdshell',1
11 RECONFIGURE
12 GO
13 --调用DOS命令创建storedcerts文件夹
14 EXEC xp_cmdshell 'mkdir D:\DATA\storedcerts'
15 GO
16 --调用DOS命令创建storedkeys文件夹
17 EXEC xp_cmdshell 'mkdir D:\DATA\storedkeys'
下面开始加密
1 USE MASTER;
2 GO
3 --删除原有的证书和密钥,保险一点,如果没有会报错不用管
4 DROP CERTIFICATE MyServerCert
5 GO
6 DROP MASTER KEY
7 GO
8
9 --在MASTER数据库中创建一个MASTER KEY,密码是zz.www
10 CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'zz.www';
11 GO
12
13 --使用MASTER KEY创建证书MyServerCert
14 CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';
15 GO
16
17 USE ceshi;
18 GO
19 --在ceshi数据库上使用MyServerCert这个证书创建数据库私钥
20 CREATE DATABASE ENCRYPTION KEY
21 WITH ALGORITHM = AES_128
22 ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
23 GO
接下来是备份数据库主密钥,数据库证书和证书私钥.
在创建证书时数据库会提示备份证书以及相关私钥,在没弄明白之前笔者只备份了证书,没有管私钥,虽然私钥是会在备份证书的时候带到证书里面去,但是显然笔者把证书想简单了,等还原证书解密的时候,才发现数据库主密钥和证书私钥是两码事,后面解密的时候解释这个问题
1 USE MASTER;
2 GO
3 --备份数据库主密钥MASTER KEY
4 BACKUP MASTER KEY TO FILE = 'D:\DATA\storedkeys\masterkey' ENCRYPTION BY PASSWORD = 'zz.www'
5 GO
6
7 --备份数据库证书和私钥
8 BACKUP CERTIFICATE MyServerCert TO FILE = 'D:\DATA\storedcerts\MyServerCert.cer'
9 WITH PRIVATE KEY ( FILE = 'D:\DATA\storedkeys\MyServerCert.pvk' ,
10 ENCRYPTION BY PASSWORD = 'zz.www' );
11 GO
12
13 --将ceshi数据库设置为加密
14 ALTER DATABASE ceshi SET ENCRYPTION ON;
15 GO
到这里ceshi数据库就加密成功了.
下面是解密过程,笔者只是用到了把加密的数据库的备份文件或者数据库原文件还原或者附加到另外的实例数据库中.
在这里就遇到了问题,刚开始笔者用备份好的密钥和证书直接还原到新实例上面,提示都还原成功了,但是用备份文件进行还原的时候,还是会提示密钥不对.
然后笔者尝试删除密钥和证书,虽然提示笔者删掉了,而且在系统表里面查询也确实没有了,但是在还原的时候依旧报错,提示需要证书
找了下原因,官方说法:即使对于数据库不再启用加密,用于保护数据库加密密钥的证书备份也应保留。 即使数据库不再加密,事务日志的某些部分仍可能保持受到保护,但在执行数据库的完整备份前,对于某些操作可能需要证书。
说是删除,实际上并没有,也是,如果直接就删了,那这透明加密就没什么卵用了;也就是说即使密钥删了,但是证书还在,私钥还在,即使是用DROP CERTIFICATE MyServerCert 来删除证书,然后把当前数据库拿到其他数据库实例上面还原,也是无法成功的.
然后在还原好了主密钥和证书,私钥之后,数据库却提示当前数据库实例不支持透明加密功能,这才知道,虽然大部分的数据库版本均可以进行加密操作,但是在新实例上面做一些还原或者附加等操作的,必须要求新的数据库实例是企业版的才可以完美操作.
1 --查询数据库实例版本等信息
2 SELECT SERVERPROPERTY('productversion') as '产品版本', SERVERPROPERTY ('productlevel') as '产品级别' , SERVERPROPERTY ('edition') as '版本'
下面是笔者总结的成功还原数据库并且可以正常操作数据库数据的解密方法
还原主密钥,还原证书和证书私钥,重点就是证书私钥
1 --还原MASTER KEY
2 USE MASTER
3 RESTORE MASTER KEY
4 FROM FILE = 'D:\DATA\storedkeys\masterkey'
5 DECRYPTION BY PASSWORD = 'zz.www'
6 ENCRYPTION BY PASSWORD = 'zz.www';
7 GO
8
9 --还原证书和私钥
10 CREATE CERTIFICATE MyServerCert
11 FROM FILE = 'D:\DATA\storedcerts\MyServerCert'
12 WITH PRIVATE KEY (FILE = 'D:\DATA\storedkeys\MyServerCert.pvk',
13 DECRYPTION BY PASSWORD = 'zz.www');
14 GO
15
16 --还原数据库
17 RESTORE DATABASE ceshi
18 FROM disk = 'F:/DATA/2015-07-06'
19 WITH MOVE 'Test' TO 'd:\DATA\ceshi.mdf',
20 MOVE 'Test_log' TO 'd:\DATA\ceshi_log.ldf'
21 GO
到这里数据库还原成功就ok了
此文个人观点,有不对之处,欢迎指正.