在 SQL Server 2008 R2 中,如果我更改数据库主密钥,我是否必须对更改用户数据库加密密钥的证书进行任何更改。我有年度更新要求。
所以如果我这样做:
USE [Master];
ALTER MASTER KEY REGENERATE WITH ENCRYPTION BY PASSWORD = 'blah((blah&something';
GO
它还会更新为用户数据库加密密钥创建的所有证书的加密密钥吗?
是否存在数据丢失风险?
有很多关于如何做出改变的例子,但我很难找到关于这种特定情况的点评论。
重新生成 DBMK 将重新加密使用 DBMK 加密的所有密钥,以及使用 DBMK 加密的一些内部内容(例如,服务代理会话端点会话密钥)。没有数据丢失的风险。如果旧的 DBMK 无法打开(例如未知密码),则 ALTER 语句将失败。在这种情况下,如果使用 FORCE 选项,那么如果旧的 DBMK 加密是唯一可用的并且在强制重新生成中丢失,则可能会发生数据丢失。
不清楚“用户数据库加密密钥”是什么意思。物理存储在数据库中的所有密钥(这包括任何数据库范围的证书,其私钥使用主密钥加密)将被重新加密。但是,例如,透明数据库加密密钥不会被重新加密,因为它们没有存储在它们加密的数据库中。