Preparación TDE: copia de seguridad de clave / certificado para restauraciones

Estoy trabajando en un entorno de desarrollo para comprender mejor el TDEcifrado. Lo tengo trabajando junto con copias de seguridad y restauraciones en otro servidor. Tenía algunas preguntas, sé que necesito hacer una copia de seguridad del certificado con la clave privada correspondiente.

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

Estos deben ser movidos / restaurados en el nuevo servidor en caso de falla. ¿Hay algo más que necesito hacer una copia de seguridad desde el servidor de origen que sería necesario en caso de necesitar restaurarlo en otro servidor?

¿Alguna sugerencia sobre el almacenamiento de claves privadas? Mi pensamiento en este momento es hacer una copia de seguridad del certificado, la clave privada y la contraseña en una base de datos KeePass que se respalda por separado y se replica fuera del sitio.

Sin embargo, eso deja la pregunta de dónde hacer una copia de seguridad de la clave privada KeePass.

Si desea restaurar en un servidor diferente, debe poder hacerlo con el certificado, la clave privada y los archivos de respaldo de la base de datos.

Cuando se crea un certificado en cualquier base de datos en SQL Server, forma parte de una jerarquía de cifrado . El certificado en la base de datos maestra solo contiene una clave pública, que no necesita protección, sin embargo, la base de datos maestra también contendrá una clave privada separada pero matemáticamente relacionada que sí necesita ser protegida. El método para proteger la clave privada es cifrarla utilizando la clave maestra de la base de datos que creó en la base de datos maestra antes de crear el certificado. La siguiente capa en la jerarquía de cifrado es que la clave maestra de servicio cifra el DMK. Solo hay una SMK en el sistema y está en la base de datos maestra.

Aunque no necesita el DMK y SMK para restaurar una copia de seguridad cifrada en otro servidor, de todas formas haría una copia de seguridad de estas dos claves, ya que hace que la recuperación sea mucho más flexible.

Cuando restaura el certificado de cifrado de respaldo en la base de datos maestra, lo que sucede detrás de escena es que la clave privada se lee del archivo, se descifra con la contraseña que proporciona en el comando de restauración, luego se cifra con la clave maestra de la base de datos y se guarda. Como sabe, la clave privada del certificado se puede utilizar para descifrar la clave de cifrado de la base de datos en el archivo de copia de seguridad y restaurar con éxito la base de datos.

No tengo una recomendación específica para almacenar el certificado y los archivos de copia de seguridad clave, pero deben estar disponibles para usted y para quien sea que realice la recuperación ante desastres en su organización.

En el libro de Denny Cherry, Securing SQL Server, encontré una práctica recomendada de seguridad para hacer una copia de seguridad de los certificados:

• Grabe las copias de seguridad de certificados en dos CD diferentes
• Coloque cada CD en un sobre sellado y firmado
• Marque el sobre con qué sistema son estos certificados
• Coloque un CD en la caja fuerte del gerente de la empresa.
• Almacene el segundo CD fuera del sitio en otra ubicación segura