SQL Server 2008的透明数据加密

核心提示： 这个代码的第一部分将这个证书备份到了一个文件中，它还备份了这个证书的私钥，SQL Server 2008的透明数据加密(5)，代码中指定的密码是用于加密私钥的，代码的第二部分需要运行在第二个SQL Server 2008实例上，在其中创建了TestTable1，在FG2_ReadOnly文

这个代码的第一部分将这个证书备份到了一个文件中。它还备份了这个证书的私钥。代码中指定的密码是用于加密私钥的。代码的第二部分需要运行在第二个SQL Server 2008实例上。它使用备份证书创建了一个证书。当这个代码运行后，你将可以恢复或附加TestDatabase数据库到新的实例中去。

在激活TDE之前需要考虑什么?

在你在数据库上激活TDE之前只有很少的事情需要注意，那就是：

TDE是否影响所执行的灾难复原计划?

设想一个简单的灾难复原计划，备份和恢复。你可能开发了这个计划而且它执行没有任何问题。你激活了TDE，仍然没有问题，时间表作业备份了你的数据库。假设这个服务器开始产生严重错误导致你需要重新安装操作系统和SQL Server。你可能不做它想就轻松地重新安装，因为你有数据库备份。当数据库恢复时问题出现了。你可能具有不是加密格式的数据库完全备份，你可能有一些在激活TDE之后进行的事务型备份，所以它们是加密的。你没有用于TDE的证书备份。这导致你处于一个不可预料的境地。因为你没有所用证书的备份，所以你将不能恢复事务型备份。

想想在激活TDE之前灾难复原计划的开发。如果你有计划，那么确保这个计划在激活TDE之后仍然可用。这不只用于备份和恢复策略，它还用于其它计划，例如日志传送和数据库镜像。

在你的数据库中有只读文件组吗?

如果数据库有只读文件组，那么TDE将会失败。一旦TDE激活了，那么encryption_state的数值将永远不可能是3(加密的)而是2(加密中)。SQL Server在运行TDE代码时不会抛出任何异常。激活TDE之后，如果你打开数据库的属性窗口，你将会发现属性Encryption Enabled的值被设为了true。使用下面的代码进行测试：

-- create a new database for testing TDE on readonly file groups
USE master
GO
CREATE DATABASE [TestDatabase2] ON PRIMARY
( NAME = N'TestDatabase2_Primary', FILENAME = N'E:TestDatabase2_Primary.mdf' , SIZE = 3072KB , FILEGROWTH = 1024KB ),
FILEGROUP [FG1_Default]
( NAME = N'TestDatabase2_FG1', FILENAME = N'E:TestDatabase2_FG1.ndf' , SIZE = 3072KB , FILEGROWTH = 1024KB ),
FILEGROUP [FG2_ReadOnly]
( NAME = N'TestDatabase2_FG2', FILENAME = N'E:TestDatabase2_FG2.ndf' , SIZE = 3072KB , FILEGROWTH = 1024KB )
LOG ON
( NAME = N'TestDatabase2_log', FILENAME = N'E:TestDatabase2_log.ldf' , SIZE = 1024KB , FILEGROWTH = 10%)
GO
　　-- Set the FG1_Default file group as the default one.
USE [TestDatabase2]
GO
IF NOT EXISTS (SELECT name FROM sys.filegroups WHERE is_default=1 AND name = N'FG1_Default')
ALTER DATABASE [TestDatabase2]
MODIFY FILEGROUP [FG1_Default] DEFAULT
GO
　　-- Add a table to the default file group
USE [TestDatabase2]
GO
CREATE TABLE TestTable1 (Id int PRIMARY KEY, [Text] varchar(100))
GO
INSERT INTO TestTable1 VALUES (1, 'hello')
　　-- Add a table to the FG2_ReadOnly file group
CREATE TABLE TestTable2 (Id int PRIMARY KEY, [Text] varchar(100))
ON [FG2_ReadOnly]
GO
INSERT INTO TestTable2 VALUES (1, 'hello')
GO
　　-- Set the file group FG2_ReadOnly file group as READONLY
IF NOT EXISTS (SELECT name FROM sys.filegroups WHERE is_default=1 AND name = N'FG2_ReadOnly')
ALTER DATABASE [TestDatabase2]
MODIFY FILEGROUP [FG2_ReadOnly] READONLY
GO
　　-- Create Database Encryption Key (DEK) in the user database
USE TestDatabase2
GO
IF NOT EXISTS (SELECT * FROM sys.dm_database_encryption_keys WHERE database_id = DB_ID('TestDatabase2'))
BEGIN
　　　　CREATE DATABASE ENCRYPTION KEY
　　　　WITH ALGORITHM = AES_128
　　　　ENCRYPTION BY SERVER CERTIFICATE DEKCertificate
END
GO
　　-- Enable TDE on the database
ALTER DATABASE TestDatabase2
SET ENCRYPTION ON
GO

首先这个代码创建了一个具有三个数据文件的数据库，这三个文件叫做TestDatabase2_Primary、TestDatabase2_FG1和TestDatabase2_FG2。文件组FG1_Default 设置为默认文件组，在其中创建了TestTable1。在FG2_ReadOnly文件组中创建了TestTable2。然后FG1_ReadOnly文件组被标识为READONLY。