SQLServer数据库TDE加密11案例环境介绍
完成本节数据TDE加密的演示，需要准备两台虚拟机环境，一台模拟生产数据库，一台
模拟迁移还原的数据库环境。
111案例环境配置
完成本章案例数据备份部分的学习，需要准备3个节点的环境。具体环境配置要求，见
表63。
表63本案例环境配置
序号
角色
IP地址
操作系统
安装软件
备注
1
生产数据库1921680131
2
还原数据库1921680133
Wi
dowsServer2016Datace
ter版
Wi
dowsServer2012R2
SQL2012企业版SP1SQL2012企业版SP1
112案例拓扑图如图6101所示，这是完成本案例的实验环境拓扑图。
图6101SQLServer数据库TDE加密环境拓扑图
12数据库加密实施
本章在实验环境首先对数据库进行TDE加密，再展示合法用户在拥有密钥和证书得前提下，完成数据库的异机还原和附加的操作。
121执行TDE加密1创建MASTERKEY（主密钥）和CERTIFICATE（证书）在“MicrosoftSQLServerMa
agerme
tStudio”中，点击“新建查询”，在查询分析器中执行如下命令，创建MASTERKEY（主密钥）和CERTIFICATE（证书）。
fUSEmasterGO创建master数据库下的主密钥在生产环境中PASSWORD要设置的足够复杂。CREATEMASTERKEYENCRYPTIONBYPASSWORDNkgc123创建证书用来保护数据库加密密钥DEKCREATECERTIFICATEmaster_server_certficateWITHSUBJECTNMasterProtectDEKCertificate
创建主密钥和证书后，执行以下命令，检测密钥状态。
查看master数据库主密钥状态SELECT
ameis_master_key_e
crypted_by_serverFROMsysdatabases
执行结果，如图6102所示。is_master_key_e
crypted_by_server值为1，代表已创建主密钥。
图6103查看主密钥状态执行以下命令，查看主密钥的详细信息。
查看master数据库下的密钥信息SELECTFROMsyssymmetric_keys
执行结果如图661所示。
f图661查看主密钥的详细信息2创建数据库和数据库加密密钥首先创建测试数据库KGCDB再创建由证书保护的数据库加密密钥（对称密钥）。
创建测试数据库KGCDBCREATEDATABASEKGCDBUSEKGCDBGO创建由master_server_cert保护的DEK数据库加密密钥（对称密钥）CREATEDATABASEENCRYPTIONKEYWITHALGORITHMAES_128ENCRYPTIONBYSERVERCERTIFICATEmaster_server_certficate
执行结果如图662所示。
图662创建数据库和加密密钥执行结果有一行警告信息。警告用于对数据库加密密钥进行加密的证书尚未备份。应当立即备份该证书以及与该证书关联的私钥。如果该证书不可用，或者您必须在另一台服务器上还原或附加数据库，则必须对该证书和私钥均进行备份，否则将无法打开该数据库。
f提示应该立即备份证书和私钥。
3备份主密钥、r