Erstellen einer verschlüsselten Sicherung

Dieses Thema beschreibt die Schritte, die notwendig sind, um eine verschlüsselte Sicherung mit Transact-SQL zu erstellen.

Sicherung auf Datenträger mit Verschlüsselung

Voraussetzungen:

• Zugriff auf einen lokalen Datenträger oder Speicher mit ausreichendem Speicherplatz, um eine Sicherung der Datenbank zu erstellen.

• Ein Datenbank-Hauptschlüssel für die Masterdatenbank und ein Zertifikat oder ein asymmetrischer Schlüssel, das bzw. der für die SQL Server-Instanz verfügbar ist. Informationen zu Verschlüsselungsanforderungen und Berechtigungen finden Sie unter Backup Encryption.

Führen Sie die folgenden Schritte aus, um eine verschlüsselte Sicherung einer Datenbank auf einem lokalen Datenträger zu erstellen. In diesem Beispiel wird eine Benutzerdatenbank mit dem Namen MyTestDB verwendet.

1. Erstellen eines Datenbankhauptschlüssels der Masterdatenbank: Wählen Sie ein Kennwort aus, mit dem die in der Datenbank gespeicherte Kopie des Datenbank-Hauptschlüssels verschlüsselt wird. Stellen Sie eine Verbindung mit der Datenbank-Engine her, öffnen Sie ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

   -- Creates a database master key.   
   -- The key is encrypted using the password "<master key password>"  
   USE master;  
   GO  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';  
   GO  
   
   

2. Erstellen eines Sicherungszertifikats: Erstellen Sie ein Sicherungszertifikat in der Masterdatenbank. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

   Use Master  
   GO  
   CREATE CERTIFICATE MyTestDBBackupEncryptCert  
      WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';  
   GO  
   
   

3. Sichern der Datenbank: Geben Sie den Verschlüsselungsalgorithmus und das Zertifikat an, das verwendet werden soll. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

   BACKUP DATABASE [MyTestDB]  
   TO DISK = N'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'  
   WITH  
     COMPRESSION,  
     ENCRYPTION   
      (  
      ALGORITHM = AES_256,  
      SERVER CERTIFICATE = MyTestDBBackupEncryptCert  
      ),  
     STATS = 10  
   GO  
   
   

Ein Beispiel für die Verschlüsselung einer durch ein EKM geschützten Sicherung finden Sie unter Erweiterbare Schlüsselverwaltung mithilfe von Azure Key Vault (SQL Server).

Sichern im Azure Storage mit Verschlüsselung

Wenn Sie eine Sicherung in Azure Storage mithilfe der Option SQL Server-Sicherung über URL erstellen, sind die Verschlüsselungsschritte die gleichen, aber Sie müssen URL als Ziel und SQL-Anmeldeinformationen verwenden, um sich beim Azure-Speicher zu authentifizieren. Wenn Sie SQL Server Verwaltete Sicherung in Microsoft Azure mit Verschlüsselungsoptionen konfigurieren möchten, finden Sie weitere Informationen unter Einrichten SQL Server verwalteten Sicherungen in Azure und Einrichten SQL Server verwalteten Sicherung in Azure für Verfügbarkeitsgruppen.

Voraussetzungen:

• Ein Windows-Speicherkonto und ein Container. Weitere Informationen finden Sie weiter oben unter Lektion 1: Erstellen von Azure Storage-Objekten.

• Ein Datenbankhauptschlüssel für die master-Datenbank und ein Zertifikat oder ein asymmetrischer Schlüssel auf der instance von SQL Server. Informationen zu Verschlüsselungsanforderungen und Berechtigungen finden Sie unter Backup Encryption.

1. Erstellen von SQL Server-Anmeldeinformationen: Um SQL Server-Anmeldeinformationen zu erstellen, stellen Sie zunächst eine Verbindung mit der Datenbank-Engine her. Öffnen Sie dann ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

   CREATE CREDENTIAL mycredential   
   WITH IDENTITY= 'mystorageaccount' - this is the name of the storage account you specified when creating a storage account    
   , SECRET = '<storage account access key>' - this should be either the Primary or Secondary Access Key for the storage account  
   

2. Erstellen Sie einen Datenbank-Hauptschlüssel: Wählen Sie ein Kennwort aus, mit dem die in der Datenbank gespeicherte Kopie des Datenbank-Hauptschlüssels verschlüsselt wird. Stellen Sie eine Verbindung mit der Datenbank-Engine her, öffnen Sie ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

   -- Creates a database master key.  
   -- The key is encrypted using the password "<master key password>"  
   USE Master;  
   GO  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';  
   GO  
   
   

3. Erstellen eines Sicherungszertifikats: Erstellen Sie ein Sicherungszertifikat in der Masterdatenbank. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

   USE Master;  
   GO  
   CREATE CERTIFICATE MyTestDBBackupEncryptCert  
      WITH SUBJECT = 'MyTestDBBackupEncryptCert ';  
   GO  
   
   

4. Sichern der Datenbank: Geben Sie den Verschlüsselungsalgorithmus und das Zertifikat an, das verwendet werden soll. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

   BACKUP DATABASE [MyTestDB]  
   TO URL = N'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'  
   WITH  
     CREDENTIAL 'mycredential' - this is the name of the credential created in the first step.  
     ,COMPRESSION  
     ,ENCRYPTION   
      (  
      ALGORITHM = AES_256,  
      SERVER CERTIFICATE = MyTestDBBackupEncryptCert  
      ),  
     STATS = 10  
   GO