服务主密钥是一个规定 SQL Server 中所有密钥和证书的密钥。它是 SQL Server 在安装期间自动创建的对称密钥。显然，它是一个至关重要的密钥，因为如果此密钥泄露了，那么攻击者最终将解码服务中由 SQL Server 管理的每个密钥。Windows 中的数据保护 API (Data Protection API, DPAPI) 保护服务主密钥。

  SQL Server 为您管理服务主密钥。虽然您可以对其执行维护任务，将其转存到一个文件中，重新生成它，以及从文件中将其还原。不过，大多数情况下，无需对密钥做任何更改。备份服务主密钥以防止密钥损坏对于管理员来说是明智的选择。

  在数据库范围内，数据库主密钥是数据库中所有密钥、证书和数据的根加密对象。每个数据库都有惟一的主密钥；尝试创建第二个密钥时，会出现错误提示。必须在使用前通过 CREATE MASTER KEY Transact-SQL 语句和用户提供的密码创建一个数据库主密钥：

  CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'EOhnDGS6!7JKv'

  SQL Serer 使用由密码和服务主密钥派生出来的三重 DES 密钥加密密钥。第一个副本存储在数据库中，第二个存储在主数据库中。由于服务主密钥保护数据库主密钥，因此可能在需要时由SQL Server 自动加密数据库主密钥。最终应用程序或用户无需使用密码显式打开主密钥，这是层次结构保护密钥的主要优势。

  分离一个存在现有主密钥的数据库，并将其移动到另一个服务器上是一个难题。问题在于新服务器的服务主密钥与旧服务器的服务主密钥不同。因此，服务器不能自动解密数据库主密钥。可以通过使用加密密码打开数据库主密钥，然后使用 ALTER MASTER KEY 语句以新的服务主密钥对其加密的方法避开这个问题。否则，总是需要显式打开数据库主密钥以后才能使用。

  如果存在数据库主密钥，那么开发人员就可以使用它创建三种类型中的任何一种密钥，具体取决于加密所需求的类型：

  非对称密钥，使用公钥/私钥对进行公钥加密
　
  对称密钥，用于在同一个密钥分别加密和解密数据的方面共享秘密

  证书，实质上用于包装公钥

  由于所有加密选项及其已经深层集成于服务器和数据库中，因此现在加密是将防御的最终层添加到数据的可行方法。然而，需明智使用工具，因为加密给服务器增加了大量的处理开销。