Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

USE master;

GO

BACKUP CERTIFICATE CompanyABCtdeCert TO FILE = 'C:\Backup\CompanyABCtdeCERT.

cer'

WITH PRIVATE KEY (

FILE = 'C:\Backup\CompanyABCtdeCert.pvk',

ENCRYPTION BY PASSWORD = 'CrypticTDEpw4CompanyABC!');

GO

Очень важно выполнить копирование и затем сохранить этот ключ в надежном отказоустойчивом месте. При его утере весь контент SharePoint в зашифрованных базах данных будет навсегда утерян.

Обратите внимание, что в сценарии указано и копирование приватного ключа (CompanyABCtdeCert .pvk). Этот приватный ключ необходимо хранить вместе с копией

сертификата и восстанавливать с сертификатом TDE, если понадобится восстановить базы данных, зашифрованные с помощью TDE, на другом сервере. Обратите также внимание что здесь сертификат зашифрован с помощью пароля, введенного вручную: он может понадобиться для восстановления приватного ключа и сертификата, так что обязательно запишите его и храните в надежном месте.

После этого сертификат TDE можно использовать для создания DEK, который будет применяться для шифрования отдельной базы данных контента SharePoint. Используйте синтаксис наподобие приведенного ниже, только замените SharePointContentDBименем вашей базы контента SharePoint. Для каждой шифруемой базы данных контента необходимо создать уникальный ключ DEK.

USE SharePointContentDB;

GO

CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES256

ENCRYPTION BY SERVER CERTIFICATE CompanyABCtdeCert

GO

И, наконец, используйте DEK для шифрования конкретной базы данных контента SharePoint. Замените имя БД в приведенном ниже сценарии на имя вашей БД. Повторите предыдущий и этот шаги для всех остальных баз данных контента SharePoint.

USE SharePointContentDB GO

ALTER DATABASE SharePointContentDB SET ENCRYPTION ON

GO

TDE сразу же приступит к шифрованию базы данных контента. Это возможно и на ходу, т.е. для используемой базы данных. В зависимости от размера базы процесс может занять значительное время. Наблюдать за процессом шифрования можно с помощью другого сценария (см. ниже), который выводит все базы данных с состоянием шифрования, равным 3. Состояние шифрования 1 означает отсутствие шифрования, значение 2 указывает, что процесс шифрования начался, а 3 — что шифрование завершено. Выполняйте этот сценарий, пока состояние шифрования базы данных не станет равным 3, как показано на рис. 17.11.

USE SharePointContentDB GO

SELECT *

FROM sys.dm_database_encryption_keys WHERE encryption_state =3;

GO

Повторите этот процесс для всех остальных баз данных.

~гукцита! конt^M|Kh ^DrKterYftr епещй network baflfebetween AD RMS dents eid Ihe dieter.

Before Vou Begin Sever ВДев AD RMS

Reie Services ADRMS Gusto

5m4ce AccountQntcrKeyStsrage Cists'Key Password OewWebSrte

Server Authentication Cert.. Ucxnser Certificate NameSCpRegBtrattor Server рЕГ RcieServfcss CartVnwSon Progres Resits

Sjpedfm connection lyoe for Ihs AD RMS Aster.

Ъ№ееп5&-егкпфМеолпесйап0Кфг/Л

1 1) Ihe WA site you have ejected esraih«ve SSL «wbieri. After Next, you wibeflrvenlhe

ctace to cdect m SSL certikate (or HisWeb site.

Г* Ueean unencrypted солпеЛоп (Http://)

£ VoucannotuelHsepttQnffyBuwaritlDB&IdenlityFederatlonSigvort

SfcedfyansifcrTele&reasfertieADRMSdusar YouorraldingtlhiiAbwDrperlniTiberifttrW RMS ts instated and tonfigired

Internal Address

ftiy-QuaMedDomrinName; Pore

~| VAfatt 1

trtipr.// jrre.CD*Tjenyi>ccD№

Prtvlen ofdabrad^es hr dsrtsen №e rebvorir https./Дттипярагу^х: on

15. В следующем диалоговом окне укажите сертификат SSL, который соответствует выбранному ранее FQDN (т.е. rms. companyabc. com). Если он еще не создан, укажите, что он будет создан позже. Для работы RMS нужно, чтобы этот сертификат был установлен. Не рекомендуется использовать самостоятельно сгенерированный сертификат (self-signed). Щелкните на кнопке Next.

16. Выберите имя сертификата лицензирования клиента (обычно годится предложенный по умолчанию) и щелкните на кнопке Next.

17. Укажите, котите ли вы регистрировать SCP сейчас или потом. Как правило, SCP регистрируется немедленно, но важно знать последствия этого. После регистрации все клиентские приложения Office в домене будут “видеть" сервер RMS и смогут шифровать контент.

18. Согласитесь с предложенным по умолчанию мастером веб-роли и щелкните на кнопке Next.