示例二、管理和移除透明加密(TDE)
代码如下:
USE DB_Encrypt_Demo
GO
--修改加密算法
ALTER DATABASE ENCRYPTION KEY
REGENERATE WITH ALGORITHM = AES_128
Go
SELECT DB_NAME(database_id) databasenm,
CASE encryption_state
WHEN 0 THEN 'No encryption'
WHEN 1 THEN 'Unencrypted'
WHEN 2 THEN 'Encryption in progress'
WHEN 3 THEN 'Encrypted'
WHEN 4 THEN 'Key change in progress'
WHEN 5 THEN 'Decryption in progress'
END encryption_state,
key_algorithm,
key_length
FROM sys.dm_database_encryption_keys
/*
对所有用户数据库的加密处理也包含对tempdb的处理
databasenm encryption_state key_algorithm key_length
tempdb Encrypted AES 256
DB_Encrypt_Demo Encrypted AES 128
*/
USE DB_Encrypt_Demo
GO
--修改加密算法
ALTER DATABASE ENCRYPTION KEY
REGENERATE WITH ALGORITHM = AES_128
Go
SELECT DB_NAME(database_id) databasenm,
CASE encryption_state
WHEN 0 THEN 'No encryption'
WHEN 1 THEN 'Unencrypted'
WHEN 2 THEN 'Encryption in progress'
WHEN 3 THEN 'Encrypted'
WHEN 4 THEN 'Key change in progress'
WHEN 5 THEN 'Decryption in progress'
END encryption_state,
key_algorithm,
key_length
FROM sys.dm_database_encryption_keys
/*
对所有用户数据库的加密处理也包含对tempdb的处理
databasenm encryption_state key_algorithm key_length
tempdb Encrypted AES 256
DB_Encrypt_Demo Encrypted AES 128
*/
注意:对所有用户数据库的加密处理也包含对tempdb的处理
除了更改DEK的算法,我们也可以更改用来加密DEK的服务器级证书(该证书应该定期更改)
代码如下:
USE master
GO
CREATE CERTIFICATE TDE_Server_Certificate_V2
WITH SUBJECT = 'Server-level cert for TDE V2'
GO
USE DB_Encrypt_Demo
GO
ALTER DATABASE ENCRYPTION KEY
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新证书修改DEK
--移除数据库透明加密
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION OFF
GO
--移除TDE后,可以删除DEK
USE DB_Encrypt_Demo
GO
Drop DATABASE ENCRYPTION KEY
Go
注意:如果删除DEK是SQL Server实例中最后一个使用TDE的用户定义数据库,在SQL Server实例重启后,tempdb也将变为不加密的状态。
小结:
1、本文主要介绍透明数据加密(TDE)的使用。
2、对DEK的修改同时影响到tempdb数据库的加密状态。
SQL Server安全系列至此暂告一段落。谢谢各位耐心看完,欢迎对邀月提出指正。3w@live.cn
USE master
GO
CREATE CERTIFICATE TDE_Server_Certificate_V2
WITH SUBJECT = 'Server-level cert for TDE V2'
GO
USE DB_Encrypt_Demo
GO
ALTER DATABASE ENCRYPTION KEY
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新证书修改DEK
--移除数据库透明加密
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION OFF
GO
--移除TDE后,可以删除DEK
USE DB_Encrypt_Demo
GO
Drop DATABASE ENCRYPTION KEY
Go
注意:如果删除DEK是SQL Server实例中最后一个使用TDE的用户定义数据库,在SQL Server实例重启后,tempdb也将变为不加密的状态。
小结:
1、本文主要介绍透明数据加密(TDE)的使用。
2、对DEK的修改同时影响到tempdb数据库的加密状态。
SQL Server安全系列至此暂告一段落。谢谢各位耐心看完,欢迎对邀月提出指正。3w@live.cn
更多SQL内容来自木庄网络博客
- 欢迎访问木庄网络博客
- 可复制:代码框内的文字。
- 方法:Ctrl+C。