对 SQL Server 数据库启用透明数据加密
SQL Server 具有内置的加密 TDE(透明数据加密)机制,该机制对驻留在数据库中或驻留在物理介质上的备份中的数据进行加密。
开始之前
关于此任务
要在 SQL Server 上启用 TDE,您必须拥有与在主数据库中创建数据库主密钥和证书相关联的正常许可权。您还必须拥有对用户数据库的 CONTROL 许可权。
启用加密对于数据库管理员是一项常见任务;为了方便起见,我们提供了要使用的 SQL 脚本(适合于典型 SQL Server 配置):EnableTDE.zip。(如果文件无法下载,请右键单击链接并将文件保存到硬盘驱动器。)
注: 对于升级用户:
- 要提高数据库升级性能,请在数据库升级完成后启用 TDE。
- 尽管您可以随时执行这些步骤,但是在完成这些步骤之前,将不会加密数据库。在升级过程之前启用 TDE 将在整个升级过程中以及此过程之后保护您的数据库。
过程
结果
重要: 完成后,确保写下脚本中使用的密码,并创建证书备份副本。证书备份包含两个文件:AppScanEntCert.bak 和 AppScanEntCert.pvk。缺省情况下,这两个文件将与数据库 .mdf 文件一起存储在以下文件夹中:
- (SQL 2014) C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\DATA
- (SQL 2012) C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\DATA
- (SQL 2008) C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\DATA
- (SQL 2008 R2) C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA