ALTER MASTER KEY (Transact-SQL)

Ändert die Eigenschaften eines Datenbank-Hauptschlüssels.

Themenlink (Symbol)Transact-SQL-Syntaxkonventionen

Syntax

ALTER MASTER KEY <alter_option>

<alter_option> ::=
    <regenerate_option> | <encryption_option>

<regenerate_option> ::=
    [ FORCE ] REGENERATE WITH ENCRYPTION BY PASSWORD = 'password'

<encryption_option> ::=
    ADD ENCRYPTION BY { SERVICE MASTER KEY | PASSWORD = 'password' }
    | 
    DROP ENCRYPTION BY { SERVICE MASTER KEY | PASSWORD = 'password' }

Argumente

  • PASSWORD ='password'
    Gibt ein Kennwort an, mit dem der Datenbank-Hauptschlüssel ver- oder entschlüsselt wird. password muss den Anforderungen der Windows-Kennwortrichtlinien des Computers entsprechen, auf dem die Instanz von SQL Server ausgeführt wird.

Hinweise

Mit der REGENERATE-Option werden der Datenbank-Hauptschlüssel und alle durch ihn geschützten Schlüssel neu erstellt. Die Schlüssel werden zunächst mit dem alten Hauptschlüssel entschlüsselt und anschließend mit dem neuen Hauptschlüssel verschlüsselt. Die Ausführung dieses ressourcenintensiven Vorgangs sollte außerhalb der Hauptzeiten geplant werden, es sei denn, der Hauptschlüssel ist nicht mehr sicher.

Bei Verwendung der FORCE-Option wird die Schlüsselneugenerierung fortgesetzt, auch wenn der Hauptschlüssel nicht verfügbar ist oder wenn der Server nicht alle verschlüsselten privaten Schlüssel entschlüsseln kann. Falls der Hauptschlüssel nicht geöffnet werden kann, können Sie den Hauptschlüssel mit der RESTORE MASTER KEY-Anweisung aus einer Sicherung wiederherstellen. Die FORCE-Option sollte nur verwendet werden, wenn der Hauptschlüssel nicht abgerufen werden kann oder wenn bei der Entschlüsselung ein Fehler aufgetreten ist. Informationen, die nur mit dem nicht abrufbaren Schlüssel verschlüsselt sind, gehen verloren.

Mit der DROP ENCRYPTION BY SERVICE MASTER KEY-Option wird die Verschlüsselung des Datenbank-Hauptschlüssels durch den Diensthauptschlüssel entfernt.

Mit ADD ENCRYPTION BY SERVICE MASTER KEY wird eine Kopie des Hauptschlüssels mithilfe des Diensthauptschlüssels verschlüsselt. Der Hauptschlüssel wird dann sowohl in der aktuellen Datenbank als auch in der master-Datenbank gespeichert.

Berechtigungen

Erfordert die CONTROL-Berechtigung in der Datenbank. Falls der Datenbank-Hauptschlüssel mit einem Kennwort verschlüsselt wurde, muss das Kennwort bekannt sein.

Beispiele

Im folgenden Beispiel wird ein neuer Datenbank-Hauptschlüssel für AdventureWorks erstellt, und die Schlüssel, die sich in der Verschlüsselungshierarchie unter diesem Schlüssel befinden, werden neu verschlüsselt.

USE AdventureWorks;
ALTER MASTER KEY REGENERATE WITH ENCRYPTION BY PASSWORD = 'dsjdkflJ435907NnmM#sX003';
GO

Änderungsverlauf

Aktualisierter Inhalt

Der Abschnitt <encryption_option> in der Syntax wurde korrigiert, sodass anstelle von eckigen Klammern ([]) jetzt geschweifte Klammern ({}) verwendet werden.