Oracle 重置数据库的主加密密钥。

数据库 (非CDB) 版本-18.8.1.0.0
TDE已启用，Wallet_location在ASM中，软件密钥库已配置并创建了自动登录。目前仅启用表空间加密。
加密密钥 (ewallet.p12和cwallet.sso) 的备份是在另一个具有常规备份的文件系统上进行的。
为了重置数据库的主加密密钥，使用以下命令
ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD FORCE KEYSTORE IDENTIFIED BY "xxxxxxxxxxxxxxxxxxxxx" SET "yyyyyyyyyyyyyyyyyyyyy" WITH BACKUP USING 'NEWKEY_REF';
该命令已成功执行，但新密钥在V $ ENCRYPTION_KEYS或V $ DATABASE_KEY_INFO中不可见。密钥的activation_time与现有密钥的creation_time相同。activation_time也没有变化。
通过放错钱包，然后从备份中还原旧密钥，进行了一个小测试。使用旧密钥而不是新密钥打开数据库。
想要了解 (可能与测试用例) 主加密密钥的重置是如何工作的，因为我们想要定期旋转主加密密钥 (还需要测试数据库刷新和还原与主密钥的变化)。

我与我们的安全PM Russ Lowenthal进行了交谈 (您应该参加他们的办公时间会议)

The command

ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD FORCE KEYSTORE IDENTIFIED BY "xxxxxxxxxxxxxxxxxxxxx" SET "yyyyyyyyyyyyyyyyyyyyy" WITH BACKUP USING 'NEWKEY_REF';

is used to change the password of the wallet, not to generate and use a new encryption key.

The correct command to rotate a key is:

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY ;

the optional "WITH BACKUP USING " is a good practice, but not required. With that additional phrase you'd get:

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY WITH BACKUP USING ;

the important part is the "set key" phrase - this is what generates a new master key.