服务主密钥是 SQL Server 加密层次结构的根目录。 第一次加密另一个密钥时,系统会自动生成它。 默认情况下,服务主密钥使用 Windows 数据保护 API 和本地计算机密钥进行加密。 服务主密钥只能由创建它的 Windows 服务帐户或有权访问服务帐户名及其密码的主体打开。
重新生成或还原服务主密钥涉及解密和重新加密完整的加密层次结构。 除非密钥已泄露,否则应在需求较低的时间段内安排此资源密集型作。
SQL Server 2014 使用 AES 加密算法来保护服务主密钥(SMK)和数据库主密钥(DMK)。 AES 是比早期版本中使用的 3DES 更新的加密算法。 将数据库引擎实例升级到 SQL Server 2014 后,应重新生成 SMK 和 DMK,以便将主密钥升级到 AES。 有关重新生成 SMK 的详细信息,请参阅 ALTER SERVICE MASTER KEY(Transact-SQL)和 ALTER MASTER KEY(Transact-SQL)。
最佳做法
备份服务主密钥并将备份的副本存储在安全的异地位置。
相关任务
ALTER SERVICE MASTER KEY (Transact-SQL)