SQL Server 2008 R2 では、データベース マスター キーを変更した場合、ユーザー データベース暗号化キーを変更する証明書を変更する必要がありますか。毎年の更新要件があります。
だから私がこれを行うと:
USE [Master];
ALTER MASTER KEY REGENERATE WITH ENCRYPTION BY PASSWORD = 'blah((blah&something';
GO
ユーザー データベース暗号化キー用に作成されたすべての証明書を暗号化するキーも更新しますか?
データ損失のリスクはありますか?
変更の方法については多くの例がありますが、この特定の状況に関する要点の解説を見つけるのに苦労しています。
DBMKを再生成すると、DBMKで暗号化されたすべてのキーと、DBMKで暗号化された内部のもの(サービスブローカーの会話エンドポイントセッションキーなど)が再暗号化されます。データ損失のリスクはありません。古いDBMKを開くことができない場合(パスワードが不明など)、ALTERステートメントは失敗します。このような状況でFORCEオプションを使用すると、古いDBMK暗号化のみが使用可能であり、強制再生で失われると、データが失われる可能性があります。
「ユーザーデータベース暗号化キー」の意味が明確ではありません。データベースに物理的に保存されているすべてのキー(これには、マスターキーで暗号化された秘密キーを持つデータベーススコープの証明書が含まれます)が再暗号化されます。ただし、たとえば、透過的データベース暗号化キーは、暗号化するデータベースに保存されないため、再暗号化されません。