暗号化キーのバックアップおよび復元

レポート サーバー構成で重要なのは、機密情報の暗号化に使用される対称キーのバックアップ コピーの作成です。キーのバックアップ コピーは多くのルーチン処理で必要とされ、キーのバックアップ コピーにより新しいインストールで既存のレポート サーバー データベースを再利用できます。次のいずれかが行われた場合、暗号化キーのバックアップ コピーを復元する必要があります。

  • レポート サーバー Windows サービスのアカウント名の変更またはパスワードの再設定。Reporting Services 構成ツールを使用する際に、サービス アカウント名の変更操作の一部としてキーをバックアップします。

    注意注意

    パスワードの再設定はパスワードの変更とは異なります。パスワードを再設定するには、ドメイン コントローラでアカウント情報を上書きする権限が必要です。パスワードの再設定は、ユーザーが特定のパスワードを忘れた場合、または知らない場合に、システム管理者が行います。パスワードの再設定にのみ、対称キーの復元が必要となります。アカウント パスワードの定期的な変更には、対称キーの再設定は必要ありません。

  • レポート サーバーをホストするコンピュータまたはインスタンスの名前変更 (レポート サーバー インスタンスは SQL Server インスタンス名に基づいています)。

  • レポート サーバー インストールの移行または別のレポート サーバー データベースを使用するようにレポート サーバーを構成。

  • ハードウェア障害による、レポート サーバー インストールの復旧。

対称キーに必要なバックアップのコピーは 1 つだけです。レポート サーバー データベースと対称キーは、一対一で対応します。必要なバックアップのコピーは 1 つだけですが、スケールアウト配置モデルで複数のレポート サーバーを起動している場合には、複数回キーを復元する必要が生じる場合があります。各レポート サーバー インスタンスは、レポート サーバー データベースでデータをロックおよびロック解除するために対称キーのコピーが必要になります。

暗号化キーのディスクへのバックアップ

対称キーのバックアップは、指定するファイルにキーを書き込み、指定したパスワードを使用してそのキーにスクランブルをかける処理です。対称キーが暗号化されていない状態で格納されることはないので、ディスクに格納する際は、キーにスクランブルをかけるためのパスワードを指定する必要があります。ファイルの作成後、セキュリティで保護された場所にファイルを保存します。ファイルのロックを解除するために使用するパスワードを覚えておく必要があります。対称キーをバックアップするには、Reporting Services 構成ツールまたは、rskeymgmt ユーティリティのいずれかを使用できます。

暗号化キーのバックアップ方法 (Reporting Services 構成ツール)

  1. Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。

  2. [暗号化キー] をクリックし、次に [バックアップ] をクリックします。

  3. 複雑なパスワードを入力します。

  4. 格納されたキーを含むファイルを指定します。Reporting Services では、ファイルに .snk ファイル拡張子が付けられます。このファイルをフロッピー ディスクに保存して、レポート サーバーとは別に保存することを検討してください。

  5. [OK] をクリックします。

暗号化キーのバックアップ方法 (rskeymgmt)

  1. パスワードで保護されたファイルをレポート サーバーとは別に保存する場合は、フロッピー ディスク ドライブにフロッピー ディスクを挿入します。

  2. レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。抽出用の -e 引数を使用してキーをコピーし、ファイル名を入力して、パスワードを指定する必要があります。指定する必要がある引数の例を次に示します。

    rskeymgmt -e -f a:\rsdbkey.snk -p<password>
    
  3. 安全な場所にフロッピー ディスクを保存します。

暗号化キーの復元

対称キーを復元すると、レポート サーバー データベースに格納されている既存の対称キーを上書きします。暗号化キーを復元すると、使用できないキーが以前ディスクに格納したコピーと置き換わります。暗号化キーを復元することにより、次の処理が行われます。

  • パスワードで保護されたバックアップ ファイルで対称キーが開きます。

  • レポート サーバー Windows サービスの公開キーを使用して、対称キーが暗号化されます。

  • 暗号化された対称キーがレポート サーバー データベースに格納されます。

  • 以前格納した対称キー データ (以前の配置から既にレポート サーバー データベースにあったキー情報など) は削除されます。

暗号化キーを復元するには、暗号化キーのコピーがファイルにある必要があります。また、格納したコピーのロックを解除するパスワードを知っている必要もあります。キーおよびパスワードがある場合、Reporting Services 構成ツールまたは rskeymgmt ユーティリティを実行して、キーを復元できます。対称キーは、レポート サーバー データベースに現在格納されている暗号化されたデータをロックおよびロック解除するキーと同じものである必要があります。有効ではないコピーを復元すると、レポート サーバーは、レポート サーバー データベースに現在格納されている暗号化されたデータにアクセスできません。暗号化されたデータにアクセスできず、有効なキーを復元できない場合、すべての暗号化された値を削除する必要が生じることがあります。なんらかの理由で暗号化キーを復元できない場合 (バックアップ コピーがない場合など)、既存のキーおよび暗号化されたコンテンツを削除する必要があります。詳細については、「暗号化キーの削除と再作成」を参照してください。対称キーの作成の詳細については、「レポート サーバーの初期化」を参照してください。

暗号化キーの復元方法 (Reporting Services 構成ツール)

  1. Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。

  2. [暗号化キー] ページで、[復元] をクリックします。

  3. バックアップ コピーを含む .snk ファイルを選択します。

  4. ファイルのロックを解除するパスワードを入力します。

  5. [OK] をクリックします。

暗号化キーの復元方法 (rskeymgmt)

  1. 暗号化キーのバックアップ コピーを含むフロッピー ディスクを挿入します。

  2. レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。キーを復元するには、-a 引数を使用します。完全修飾ファイル名を入力し、パスワードを指定する必要があります。指定する必要がある引数の例を次に示します。

    rskeymgmt -a -f a:\rsdbkey.snk -p<password>