Discussion :

[sihem_info]

bonjour a tous

je pose une question SVP sur l’utilité d'avoir du password au niveau du master key

En faite ce qui je trouve un peut bizar c'est que si je crée un master key qui est crypté par un password et puis je crée un certificat qui est crypté par le master key puis je procède a une suppression du mon certificate

et puis a une suppression du master key (bien sur avant la suppresion j'ai fait du backup pour le certificat)

je trouve que je suis capable de restaurer mon ancien certificat même avec un nouveau password crée au niveau du master key

Qui a une idée dans ce cas sur l’utilité du master key

j'ai trouvé cette discutions qui parle de ce sujet sur https://www.sqlservercentral.com/For...-key-necessary

Qui peut m'expliquer en plus cette point ?

[mikedavem]

Hello sihem_info,

Pour comprendre ce mécanisme il faut que tu aies bien en tête la hiérarchie de chiffrement pour TDE.

Service master key (SQL master) --> Database Master Key (SQL master) --> Certificat (SQL master) --> Database encryption key (SQL user BD).

- La master key est une clé symétrique qui est protégée (=chiffrée) dans master par un mot de passe.
- La clé privée du certificat sera quant à lui protégé par la master key.
- Le certificat sert à protéger la clé de chiffrement de la base de données concernée

La relation mot de passe - certificat n'existe pas en réalité. Le mot de passe ne concerne que la master key dans la base de données master.
Ainsi il est tout à fait possible de restaurer une base de données avec TDE sans la même master key. La seule chose importante c'est le certificat (relation directe avec la Database Encryption Key) qui devra être restauré sur la nouvelle instance. A partir de là la clé privée du certificat pourra être protégée par la nouvelle master key qui aura ou non un nouveau mot de passe.

++

[sihem_info]

merci mikedavem pour votre réponse

donc si je comprend bien et selon votre réponse je peut restaurer un backup crypté sur plusieurs serveur a condition que le certificat soit présent sur ces serveur et quelque soit le password

définit au niveau du master key

[mikedavem]

donc si je comprend bien et selon votre réponse je peut restaurer un backup crypté sur plusieurs serveur a condition que le certificat soit présent sur ces serveur et quelque soit le password définit au niveau du master key

Exactement

++

[sihem_info]

désoler David

mais dans le site MSDN ici il parle d'une autre chose et il dit qu il faut utlisée OPEN MASTER KEY pour déchiffrer la clé principale de la base de données

https://docs.microsoft.com/fr-fr/sql...ql-server-2017

Si non j'aurai ce type d'erreur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Msg 15581, Level 16, State 7, Line 137
Please create a master key in the database or open the master key in the session before performing this operation.
Msg 3013, Level 16, State 1, Line 137
VERIFY DATABASE is terminating abnormally

merci pour vos aides

[mikedavem]

mais dans le site MSDN ici il parle d'une autre chose et il dit qu il faut utlisée OPEN MASTER KEY pour déchiffrer la clé principale de la base de données
Restauration d'une base TDE sur une autre instance qui avait déjà une master key dans master.

Oui si tu dois restaurer la service master key sur une autre instance.
Celle-ci est chiffrée via le compte de service de l'instance SQL Server et la clé locale du serveur (Windows).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
RESTORE SERVICE MASTER KEY FROM FILE = 'B:\SQL2014\service_master_key'   
DECRYPTION BY PASSWORD = 'P@$$w0rd1'

Si maintenant tu lances la requête suivante tu verras qu'elle n'est pas protégée par le serveur (is_master_key_encrypted_by_server = 0). Dans ce cas SQL Server n'a aucun moyen de l'ouvrir et ouvrir les éléments du bas.
Il faut donc appliquer les étapes que tu mentionnes dans ton post.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
select 
	name, 
	is_master_key_encrypted_by_server
from sys.databases

En revanche si tu crées ta propre master key sur l'instance où tu restaures ta base TDE cela fonctionne sans avoir à faire autre chose que de restaurer le certificat + la base.

++