Erstellen einer verschlüsselten Sicherung

Gilt für:SQL Server

Dieser Artikel beschreibt die Schritte, die notwendig sind, um eine verschlüsselte Sicherung mit Transact-SQL zu erstellen. Ein Beispiel zum Verwenden von SQL Server Management Studio finden Sie unter Erstellen einer vollständigen Datenbanksicherung.

Achtung

Um eine verschlüsselte Datenbank wiederherzustellen, benötigen Sie Zugriff auf das Zertifikat oder den asymmetrischen Schlüssel, der zum Verschlüsseln der Datenbank verwendet wurde. Ohne das Zertifikat oder den asymmetrischen Schlüssel können Sie die Datenbank nicht wiederherstellen. Bewahren Sie das zum Verschlüsseln des Datenbankverschlüsselungsschlüssels verwendete Zertifikat so lange auf, wie die Sicherung gespeichert werden muss. Weitere Informationen finden Sie unter SQL Server Certificates and Asymmetric Keys.

Voraussetzungen

• Speicher für die verschlüsselte Sicherung. Je nachdem, welche Option Sie auswählen, eine der folgenden Optionen:

  • Einen lokalen Datenträger oder Speicher mit ausreichendem Speicherplatz, um eine Sicherung der Datenbank zu erstellen.
  • Ein Azure Storage-Konto und einen Container. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos.

• Ein Datenbank-Hauptschlüssel (DMK) für die master-Datenbank und ein Zertifikat oder ein asymmetrischer Schlüssel in der SQL Server-Instanz. Informationen zu Verschlüsselungsanforderungen und Berechtigungen finden Sie unter Sicherungsverschlüsselung.

Erstellen eines Datenbankhauptschlüssels (DMK)

Wählen Sie ein Kennwort aus, mit dem die in der Datenbank gespeicherte Kopie des Datenbank-Hauptschlüssels verschlüsselt wird. Stellen Sie eine Verbindung mit der Datenbank-Engine her, öffnen Sie ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

Ersetzen Sie <master key password> es durch ein sicheres Kennwort, und stellen Sie sicher, dass Sie eine Kopie des DMK und des Kennworts an einem sicheren Ort aufbewahren.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Erstellen eines Sicherungszertifikats

Erstellen Sie ein Sicherungszertifikat in der master-Datenbank. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Sichern der Datenbank mit Verschlüsselung

Es gibt zwei Standardoptionen zum Erstellen einer verschlüsselten Sicherung:

• Sicherung auf Datenträger
• Sicherung in Azure Storage

Sicherung auf Datenträger

Führen Sie die folgenden Schritte aus, um eine verschlüsselte Sicherung einer Datenbank auf einem lokalen Datenträger zu erstellen. In diesem Beispiel wird eine Benutzerdatenbank mit dem Namen MyTestDB verwendet.

Geben Sie den Verschlüsselungsalgorithmus und das Zertifikat an, das verwendet werden soll. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

Ersetzen Sie <path_to_local_backup> durch einen lokalen Pfad, in den SQL Server über die Berechtigung zum Schreiben verfügt. Beispielsweise könnte dieser Pfad D:\SQLBackup sein.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Ein Beispiel zum Verschlüsseln einer durch Erweiterbare Schlüsselverwaltung (EKM) geschützten Sicherung finden Sie unter Erweiterbare Schlüsselverwaltung mit Azure Key Vault (SQL Server).

Sicherung in Azure Storage

Wenn Sie eine Sicherung in Azure Storage mithilfe der Option SQL Server-Sicherung über URL erstellen, sind die Verschlüsselungsschritte die gleichen, aber Sie müssen URL als Ziel und SQL-Anmeldeinformationen verwenden, um sich beim Azure Storage zu authentifizieren. Wenn Sie die verwaltete SQL Server-Sicherung in Microsoft Azure mit Verschlüsselungsoptionen konfigurieren möchten, siehe Aktivieren der verwalteten SQL Server-Sicherung in Azure.

Erstellen von SQL Server-Anmeldeinformationen

Um SQL Server-Anmeldeinformationen zu erstellen, stellen Sie zunächst eine Verbindung mit der Datenbank-Engine her. Öffnen Sie dann ein neues Abfragefenster, kopieren Sie das folgende Beispiel, fügen Sie es ein, und klicken Sie auf Ausführen.

Ersetzen Sie <mystorageaccount> durch den Namen des Speicherkontos, den Sie beim Erstellen eines Speicherkontos angegeben haben, und <storage account access key> durch den primären oder sekundären Zugriffsschlüssel für das Speicherkonto.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Sichern der Datenbank

Geben Sie den Verschlüsselungsalgorithmus und das Zertifikat an, das verwendet werden soll. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

In diesem Beispiel ist mycredential der Name der zuvor erstellten Anmeldeinformationen, <mystorageaccountname> ist der Name Ihres Speicherkontos und <mycontainername> der Name Ihres Speichercontainers.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Zugehöriger Inhalt

• Restore a Database Backup Using SSMS
• Verschlüsselungshierarchie
• Backup-Übersicht (SQL Server)