Additional Information for Homogeneous System Copy on SAP HANA with Encrypted Backup

Symptom

Additional information when executing a homogeneous system copy for an SAP system on SAP HANA when the data backup is encrypted.

If a data recovery step perform_database_recovery_tenant fails with error:  SAP DBTech JDBC: [448]: recovery could not be completed: [110126] Backup rootkey <key> is required for decryption of backup files, but not found in key store, the data backup is encrypted and the necessary encryption root keys have not yet been recovered.

Other Terms

encryption root keys SWPM backup recovery

Reason and Prerequisites

With current security guidelines, it is recommended to use the HANA Data in Rest and backup encryption capabilities to protect important, if not all data. Starting with HANA 2.0 SPS 07,  data-at-rest encryption is on by default, and so is backup encryption. When the data backup taken from an SAP system is encrypted, additional steps are necessary to successfully execute the system copy process.

This SAP Note covers the scenario where the SAP HANA database uses the file system secure store (SSFS) and uses SQL for backup and recovery means. Additional information for SAP HANA instances using the local secure store (LSS)  and/or using the tool hdbnsutil for the encryption keys backup can be found in the SAP HANA Administration Guide for SAP HANA Platform, section Back Up Root Keys

解决方案

要使用加密备份成功执行恢复，不仅需要数据备份文件；您还需要确保从源数据库备份加密根密钥。

需要根密钥备份密码才能安全备份数据库的根密钥，然后在数据恢复期间恢复备份的根密钥，还需要恢复数据备份。

在恢复数据备份之前，根密钥类型备份需要恢复。在 HANA 上使用数据库工具进行系统复制的概念中，只需要租户数据库的密钥。

从源租户数据库创建根密钥备份

在使用任何所需平均值进行数据备份之前，请确保已设置根密钥备份的密码。

要设置加密密钥备份密码，请连接到租户数据库并使用以下 SQL 语句：

• ALTER SYSTEM SET ENCRYPTION ROOT KEYS BACKUP PASSWORD "<passphrase>"

使用 SQL 导出和导入备份加密根密钥

• BACKUP ENCRYPTION ROOT KEYS APPLICATION, BACKUP USING FILE ('<目录>/<源 DBSID>_ROOT_KEYS')

然后，可以使用任何所需的平均值进行数据备份，如 SAP 注释 1844468 - 基于 SAP HANA 的同构系统复制

然后，需要将加密密钥备份文件和数据备份文件提供给目标数据库。

手动恢复目标租户数据库上的根密钥备份。

SWPM 2.0 仅提供从 SLTOOLSET SPS 39 开始的加密密钥恢复支持。这些密钥的恢复必须手动完成，以避免在同构系统副本的数据备份恢复阶段出现问题。

要手动恢复加密根密钥，请连接到 SYSTEMDB 数据库并使用以下 SQL 语句：

• ALTER SYSTEM STOP DATABASE <目标 DBSID>
• RECOVER ENCRYPTION ROOT KEYS FOR <目标 DBSID> USING FILE ('<目录>/<源 DBSID>_ROOT_KEYS') 密码 "<密码>"

此操作可以在启动 SWPM 导入服务之前或失败的数据恢复后完成。

使用 SWPM 2.0 导入（从 SLTOOLSET SPS 39 开始）

执行数据库导入服务时，在输入数据备份信息后，SWPM 将识别出备份已加密，并将显示对话框“备份加密根密钥”。

在此对话框中，输入目录、备份前缀（对于通过 SQL 进行的备份）和密语。如果使用 hdbnsutil 工具获取加密密钥，请输入加密根密钥的全名。

如果根密钥已恢复或 SWPM 无法识别加密密钥格式，请取消选中“备份加密”，并改用此注释的手动恢复部分。