Sichern und Wiederherstellen von Verschlüsselungsschlüsseln
Das Erstellen einer Sicherungskopie des symmetrischen Schlüssels, der zum Verschlüsseln sensibler Informationen verwendet wird, ist ein wichtiger Bestandteil der Berichtsserverkonfiguration. Eine Sicherungskopie des Schlüssels ist für viele Routinevorgänge erforderlich und ermöglicht Ihnen das Wiederverwenden einer vorhandenen Berichtsserver-Datenbank in einer neuen Installation. Das Wiederherstellen der Sicherungskopie des Verschlüsselungsschlüssels ist nach folgenden Ereignissen erforderlich:
Ändern des Kontonamens des Berichtsserver-Windows-Dienstes oder Zurücksetzen des Kennwortes. Wenn Sie das Reporting Services-Konfigurationstool verwenden, ist das Sichern des Schlüssels Bestandteil des Vorgangs zum Ändern des Dienstkontonamens.
Hinweis Das Zurücksetzen des Kennwortes ist nicht dasselbe wie das Ändern des Kennwortes. Für das Zurücksetzen eines Kennwortes ist eine Berechtigung zum Überschreiben von Kontoinformationen auf dem Domänencontroller erforderlich. Das Zurücksetzen von Kennwörtern wird von einem Systemadministrator ausgeführt, wenn Sie ein bestimmtes Kennwort vergessen oder nicht kennen. Nur das Zurücksetzen von Kennwörtern erfordert das Wiederherstellen des symmetrischen Schlüssels. Wenn Sie das Kennwort für ein Konto regelmäßig ändern, müssen Sie den symmetrischen Schlüssel nicht zurücksetzen.
Umbenennen des Computers oder der Instanz, der bzw. die den Berichtsserver hostet (eine Berichtsserverinstanz beruht auf dem Namen einer SQL Server-Instanz).
Migrieren einer Berichtsserverinstallation oder Konfigurieren eines Berichtsservers für das Verwenden einer anderen Berichtsserver-Datenbank.
Wiederherstellen einer Berichtsserverinstallation nach einem Hardwarefehler.
Sie müssen lediglich eine einzige Kopie des symmetrischen Schlüssels sichern. Es besteht eine 1:1-Entsprechung zwischen einer Berichtsserver-Datenbank und einem symmetrischen Schlüssel. Obwohl nur eine einzige Kopie gesichert werden muss, müssen Sie den Schlüssel unter Umständen mehrmals wiederherstellen, falls mehrere Berichtsserver in einem Bereitstellungsmodell für dezentrales Skalieren ausgeführt werden. Jede Berichtsserverinstanz benötigt jeweils eine Kopie des symmetrischen Schlüssels zum Sperren und Entsperren von Daten in der Berichtsserver-Datenbank.
Sichern der Verschlüsselungsschlüssel auf einem Datenträger
Beim Sichern des symmetrischen Schlüssels wird der Schlüssel in die von Ihnen angegebene Datei geschrieben. Anschließend wird der Schlüssel mithilfe des von Ihnen angegebenen Kennwortes verschlüsselt. Der symmetrische Schlüssel darf keinesfalls unverschlüsselt gespeichert werden, d. h. Sie müssen beim Speichern auf einem Datenträger ein Kennwort angeben, um den Schlüssel zu verschlüsseln. Sie sollten die erstellte Datei an einem sicheren Ort speichern und sich das Kennwort zum Entsperren der Datei unbedingt merken. Der symmetrische Schlüssel kann mithilfe des Reporting Services-Konfigurationstools oder des Dienstprogramms rskeymgmt gesichert werden.
Sichern von Verschlüsselungsschlüsseln (Reporting Services-Konfigurationstool)
Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie anschließend eine Verbindung zu der zu konfigurierenden Berichtsserverinstanz her.
Klicken Sie auf Verschlüsselungsschlüssel, und klicken Sie dann auf Sichern.
Geben Sie ein sicheres Kennwort ein.
Geben Sie eine Datei an, die den gespeicherten Schlüssel enthalten soll. Reporting Services fügt die Dateierweiterung .snk an die Datei an. Sie sollten die Datei auf einer Diskette speichern, sodass sie vom Berichtsserver getrennt ist.
Klicken Sie auf OK.
Sichern von Verschlüsselungsschlüsseln (rskeymgmt)
Legen Sie eine Diskette in das Diskettenlaufwerk ein, wenn Sie die kennwortgeschützte Datei getrennt vom Berichtsserver speichern möchten.
Führen Sie rskeymgmt.exe lokal auf dem Computer aus, der den Berichtsserver hostet. Sie müssen das Extrahierungsargument -e verwenden, um den Schlüssel zu kopieren, sowie einen Dateinamen und ein Kennwort angeben. Das folgende Beispiel veranschaulicht die anzugebenden Argumente:
rskeymgmt -e -f a:\rsdbkey.snk -p<password>
Verwahren Sie die Diskette an einem sicheren Ort.
Wiederherstellen von Verschlüsselungsschlüsseln
Beim Wiederherstellen des symmetrischen Schlüssels wird der vorhandene symmetrische Schlüssel überschrieben, der in der Berichtsserver-Datenbank gespeichert ist. Durch das Wiederherstellen eines Verschlüsselungsschlüssels wird ein unbrauchbarer Schlüssel durch eine Kopie ersetzt, die Sie vorher auf einem Datenträger gespeichert haben. Dabei werden die folgenden Aktionen durchgeführt:
Der symmetrische Schlüssel wird über die kennwortgeschützte Sicherungsdatei geöffnet.
Der symmetrische Schlüssel wird mithilfe des öffentlichen Schlüssels des Berichtsserver-Windows-Dienstes verschlüsselt.
Der verschlüsselte symmetrische Schlüssel wird in der Berichtsserver-Datenbank gespeichert.
Die zuvor gespeicherten Daten für den symmetrischen Schlüssel (z. B. Schlüsselinformationen, die aus einer vorherigen Bereitstellung bereits in der Berichtsserver-Datenbank gespeichert waren) werden gelöscht.
Zum Wiederherstellen des Verschlüsselungsschlüssels benötigen Sie eine Kopie des Verschlüsselungsschlüssels in einer Datei. Außerdem müssen Sie das Kennwort zum Entsperren der gespeicherten Kopie kennen. Wenn Sie den Schlüssel und das Kennwort haben, können Sie den Schlüssel mithilfe des Reporting Services-Konfigurationstools oder des Dienstprogramms rskeymgmt wiederherstellen. Beim symmetrischen Schlüssel muss es sich um denselben Schlüssel handeln, der zum Sperren oder Entsperren der verschlüsselten Daten verwendet werden kann, die zurzeit in der Berichtsserver-Datenbank gespeichert sind. Wenn Sie eine ungültige Kopie wiederherstellen, kann der Berichtsserver nicht auf die verschlüsselten Daten zugreifen, die zurzeit in der Berichtsserver-Datenbank gespeichert sind. In diesem Fall müssen Sie unter Umständen alle verschlüsselten Werte löschen, falls Sie keinen gültigen Schlüssel wiederherstellen können. Falls Sie den Verschlüsselungsschlüssel aus irgendeinem Grund nicht wiederherstellen können (z. B. wenn Sie nicht über eine Sicherungskopie verfügen), müssen Sie den vorhandenen Schlüssel und die verschlüsselten Inhalte löschen. Weitere Informationen finden Sie unter Löschen und erneutes Erstellen von Verschlüsselungsschlüsseln. Weitere Informationen zum Erstellen von symmetrischen Schlüsseln finden Sie unter Initialisieren eines Berichtsservers.
Wiederherstellen von Verschlüsselungsschlüsseln (Reporting Services-Konfigurationstool)
Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie anschließend eine Verbindung zu der zu konfigurierenden Berichtsserverinstanz her.
Klicken Sie auf der Seite Verschlüsselungsschlüssel auf Wiederherstellen.
Wählen Sie die SNK-Datei aus, in der die Sicherungskopie enthalten ist.
Geben Sie das Kennwort zum Entsperren der Datei ein.
Klicken Sie auf OK.
Wiederherstellen von Verschlüsselungsschlüsseln (rskeymgmt)
Legen Sie die Diskette mit der Sicherungskopie des Verschlüsselungsschlüssels in das Diskettenlaufwerk ein.
Führen Sie rskeymgmt.exe lokal auf dem Computer aus, der den Berichtsserver hostet. Verwenden Sie das Argument -a zum Wiederherstellen der Schlüssel. Sie müssen einen vollqualifizierten Dateinamen und ein Kennwort angeben. Das folgende Beispiel veranschaulicht die anzugebenden Argumente:
rskeymgmt -a -f a:\rsdbkey.snk -p<password>