r0tt Asked: 2016-09-30 23:36:22 +0800 CST2016-09-30 23:36:22 +0800 CST 2016-09-30 23:36:22 +0800 CST 更换即将过期的 SQL Server TDE 证书 772 更换即将到期的证书的最佳方法是什么?应避免停机。数据库大小为 100GB。 sql-server transparent-data-encryption 2 个回答 Voted Best Answer James Anderson 2016-10-01T00:09:35+08:002016-10-01T00:09:35+08:00 如果证书过期,TDE 将继续工作,所以不要惊慌,但您仍应更换它以符合您的安全策略。因为证书用于加密数据库加密密钥 (DEK) 而不是数据,所以更改证书非常容易。 创建或导入新证书,然后使用它来加密 DEK。 ALTER DATABASE ENCRYPTION KEY REGENERATE WITH ALGORITHM = AES_256 --Your choice of algorithm may be different ENCRYPTION BY SERVER CERTIFICATE 'YourNewCertificate'; 更新 我在上面的代码中犯了一个错误。不可能更改一个语句中使用的加密算法和证书。无论如何这不是必需的,因此以下代码就足够了: ALTER DATABASE ENCRYPTION KEY ENCRYPTION BY SERVER CERTIFICATE YourNewCertificate; GO Scott Hodgin - Retired 2016-09-30T23:52:29+08:002016-09-30T23:52:29+08:00 TDE 中使用的过期证书不会给您带来任何问题。 从这个链接: 已超过其到期日期的证书仍可用于使用 TDE 加密和解密数据。 我们的服务器上的 TDE 证书已过期,没有遇到任何问题。如果您将该 TDE 证书复制到另一台服务器(以便您可以恢复 TDE 数据库),您仍然会收到烦人的“证书已过期”消息,但加密/解密仍然可以正常工作。
如果证书过期,TDE 将继续工作,所以不要惊慌,但您仍应更换它以符合您的安全策略。因为证书用于加密数据库加密密钥 (DEK) 而不是数据,所以更改证书非常容易。
创建或导入新证书,然后使用它来加密 DEK。
更新
我在上面的代码中犯了一个错误。不可能更改一个语句中使用的加密算法和证书。无论如何这不是必需的,因此以下代码就足够了:
TDE 中使用的过期证书不会给您带来任何问题。 从这个链接:
我们的服务器上的 TDE 证书已过期,没有遇到任何问题。如果您将该 TDE 证书复制到另一台服务器(以便您可以恢复 TDE 数据库),您仍然会收到烦人的“证书已过期”消息,但加密/解密仍然可以正常工作。