SQL Server 2012 после зеркального отработки отказа расшифровка столбца зашифрованной таблицы больше не расшифровывается

Question

SQL Server 2012 после зеркального отработки отказа расшифровка столбца зашифрованной таблицы больше не расшифровывается

Мне интересно, кто-нибудь может мне помочь?

У нас есть SQL Server 2012 Standard Edition.

В одной из баз данных (все зеркальные) у нас есть таблица с зашифрованным столбцом.

Расшифровка этой таблицы работает нормально до тех пор, пока после переключения при зеркалировании расшифровка столбца зашифрованной таблицы больше не будет дешифруемой?

Я исследовал это, и предлагаемое решение, кажется, заключается в реализации прозрачного шифрования данных?

Я наткнулся

http://blogs.msdn.com/b/sqlserverfaq/archive/2009/03/31/setting-up-database-mirroring-in-sql-server-2008-using-t-sql-when-the-database-is-encrypted-using-transparent-data-encryption.aspx

Однако стандартная редакция 2012 года не допускает TDE.

Кто-нибудь знает, есть ли другой способ решения этой проблемы, кроме TDE, так как я не очень разбираюсь в зеркалировании.

Текущий принцип установлен как:-

IF NOT EXISTS 
    (SELECT * FROM sys.symmetric_keys WHERE symmetric_key_id = 101)
    CREATE MASTER KEY ENCRYPTION BY 
    PASSWORD = 'complex password'
GO

CREATE CERTIFICATE Data01
   WITH SUBJECT = 'Data01 Passwords';
GO

CREATE SYMMETRIC KEY SSN_Key_01
    WITH ALGORITHM = AES_256
    ENCRYPTION BY CERTIFICATE Data01;
GO

Любые предложения с благодарностью.

0

sql-server-2012 certificate database-mirroring

Источник

user1132725 25 июн '14 в 08:07

1 ответ

Решение

Другие вопросы по тегам sql-server-2012 certificate database-mirroring

user3777201 25 июн '14 в 22:36 2014-06-25 22:36 · Accepted Answer · 2014-06-25 22:36

Расшифровка этой таблицы работает нормально до тех пор, пока после переключения при зеркалировании расшифровка столбца зашифрованной таблицы больше не будет дешифруемой?

Было бы хорошо, если бы у нас было точное сообщение об ошибке, так что это всего лишь обоснованное предположение с моей стороны. Скорее всего, вы используете главный ключ службы для автоматической расшифровки главного ключа базы данных, продолжая до тех пор, пока окончательный ключ не будет расшифрован и открыт. Поскольку по умолчанию SMK в каждом экземпляре являются уникальными (если не указано иное), SMK будет другим и не сможет открыть DMK в зеркальном экземпляре.

TDE предназначен для шифрования данных в состоянии покоя, он ничего не делает для того, чтобы остановить пользователя с доступом для чтения от получения данных, как это делает шифрование на уровне ячейки.

Чтобы исправить это, предположив, что мои предположения были верны, вы либо захотите изменить свой доступ к дешифровке, чтобы удалить автоматическое дешифрование с помощью SMK, вручную открыть DMK и продолжить как обычно, либо обновить SMK, чтобы они соответствовали на обоих серверах.