Megosztás a következőn keresztül:

Always Encrypted-kulcsok kiépítése az SQL Server Management Studióval

A következőkre vonatkozik:SQL ServerAzure SQL DatabaseAzure SQL Felügyelt Példány

Ez a cikk az SQL Server Management Studio (SSMS) használatával az Always Encrypted oszlop-főkulcsainak és oszloptitkosítási kulcsainak kiépítésének lépéseit ismerteti. Titkosítási kulcsok kiépítésekor használja az SQL Server Management Studio legújabb verzióját.

Az Always Encrypted kulcskezelésének áttekintése, beleértve az ajánlott eljárásokat és a fontos biztonsági szempontokat, lásd Az Always Encryptedkulcskezelésének áttekintése című témakört.

Oszlop főkulcsainak létrehozása az Új oszlop főkulcs párbeszédpaneljével

Az Új oszlop főkulcsa párbeszédpanelen létrehozhat egy oszlop főkulcsát, vagy kiválaszthat egy meglévő kulcsot egy kulcstárolóban, és oszlopmintakulcs metaadatait hozhatja létre az adatbázisban létrehozott vagy kijelölt kulcshoz.

  1. Az Object Explorerhasználatával lépjen a Biztonság -> Mindig titkosított kulcsok csomópontra az adatbázis alatt.

  2. Kattintson a jobb gombbal az oszlop master kulcs csomópontra, és válassza az Új oszlop master kulcs...lehetőséget.

  3. Az Új oszlop főkulcsa párbeszédpanelen adja meg az oszlop főkulcs metaadat-objektumának nevét.

  4. Válasszon ki egy kulcstárolót:

    • tanúsítványtároló – jelenlegi felhasználói – a Windows tanúsítványtároló jelenlegi felhasználójának tanúsítványtárolójának helyét jelzi, amely a személyes tárolója.

    • tanúsítványtároló – Helyi számítógép – a Windows tanúsítványtároló helyi számítógép tanúsítványtárolójának helyét jelzi.

    • Azure Key Vault – be kell jelentkeznie az Azure-ba (kattintson a Bejelentkezésgombra). Miután bejelentkezett, kiválaszthatja az egyik Azure-előfizetését, valamint egy kulcstárolót vagy egy felügyelt HSM-et (az SSMS 18.9 vagy újabb verziójára van szükség).

      Jegyzet

      Az Azure Key Vaultban felügyelt HSM- tárolt oszlop főkulcsainak használatához az SSMS 18.9-es vagy újabb verziója szükséges.

    • kulcstároló-szolgáltató (KSP) – olyan kulcstárolót jelöl, amely egy kulcstároló-szolgáltatón (KSP) keresztül érhető el, amely implementálja a titkosítási következő generációs (CNG) API-t. Ez a tárolótípus általában egy hardveres biztonsági modul (HSM). A beállítás kiválasztása után ki kell választania egy KSP-t. alapértelmezés szerint Microsoft Szoftverkulcstár-szolgáltató van kiválasztva. Ha egy HSM-ben tárolt oszlop főkulcsát szeretné használni, válasszon egy KSP-t az eszközhöz (a párbeszédpanel megnyitása előtt telepítenie és konfigurálnia kell a számítógépen).

    • titkosítási szolgáltató (CSP) – egy kulcstár, amely egy titkosítási szolgáltatón (CSP) keresztül érhető el, amely implementálja a titkosítási API-t (CAPI). Az ilyen tárolók általában egy hardveres biztonsági modul (HSM). A beállítás kiválasztása után ki kell választania egy CSP-t. Ha egy HSM-ben tárolt oszlop főkulcsát szeretné használni, válasszon ki egy CSP-t az eszközéhez (a párbeszédpanel megnyitása előtt telepítenie és konfigurálnia kell a számítógépen).

    Jegyzet

    Mivel a CAPI elavult API, a titkosítási szolgáltató (CAPI) beállítás alapértelmezés szerint le van tiltva. Az engedélyezéshez hozza létre a CAPI-szolgáltató által engedélyezett DWORD értéket a [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] kulcs alatt a Windows Beállításjegyzékben, és állítsa 1 értékre. A CAPI helyett CNG-t kell használnia, kivéve, ha a kulcstároló nem támogatja a CNG-t.

    További információ a fenti kulcstárolókról: Az Always Encryptedoszlop főkulcsainak létrehozása és tárolása.

  5. Ha SQL Server 2019-et (15.x) használ, és az SQL Server-példánya biztonságos enklávéval van konfigurálva, jelölje be az Enklávészámítás engedélyezése jelölőnégyzetet, hogy a főkulcs enklávé-kompatibilis legyen. A részletekért olvassa el az Always Encrypted című cikket, amely biztonságos enklávékkal rendelkezik.

    Jegyzet

    Az Enklávészámítás engedélyezése jelölőnégyzet nem jelenik meg, ha az SQL Server-példány nincs megfelelően konfigurálva biztonságos enklávéval.

  6. Válasszon ki egy meglévő kulcsot a kulcstárolóban, vagy kattintson a Kulcs létrehozása vagy Tanúsítvány létrehozása gombra egy kulcs létrehozásához a kulcstárolóban.

    Jegyzet

    Nem ellenőrizzük az oszlop főkulcsának létrehozásához használt kulcsok vagy tanúsítványok érvényességét.

  7. Kattintson OK gombra, és megjelenik az új kulcs a listában.

A párbeszédpanel befejezése után az SQL Server Management Studio metaadatokat hoz létre az oszlop főkulcsához az adatbázisban. A párbeszédpanel létrehoz és kiad egy CREATE COLUMN MASTER KEY (Transact-SQL) utasítást.

Ha egy enklávétámogatást biztosító oszlopfőkulcsot konfigurál, az SSMS az oszlopfőkulccsal is aláírja a metaadatokat.

Oszlopok főkulcsának kiépítésére vonatkozó engedélyek

Az oszlop-mintakulcs létrehozásához BÁRMELY OSZLOP MINTAKULCS MÓDOSÍTÁSA adatbázis engedélyére van szükség. Kulcstár-engedélyekre is szüksége van a kulcsoszlop főkulcsának eléréséhez és használatához. A kulcskezelési műveletekhez szükséges kulcstároló-engedélyekkel kapcsolatos részletes információkért tekintse meg Az Always Encrypted- oszlop-főkulcsainak létrehozása és tárolása című témakört, és tekintse át a kulcstárolóhoz kapcsolódó szakaszt.

Oszloptitkosítási kulcsok létrehozása az új oszloptitkosítási kulcs párbeszédablak segítségével

Az Új oszloptitkosítási kulcs párbeszédpanelen létrehozhat egy oszloptitkosítási kulcsot, titkosíthatja azt egy oszloptitkosítási kulccsal, és létrehozhatja az oszloptitkosítási kulcs metaadatait az adatbázisban.

  1. Az Object Explorerhasználatával lépjen az adatbázis alatti Security/Always Encrypted Keys mappába.
  2. Kattintson a jobb gombbal az Oszloptitkosítási kulcsok mappára, és válassza Új oszloptitkosítási kulcs...lehetőséget.
  3. Az Új oszloptitkosítási kulcs párbeszédpanelen adja meg az oszloptitkosítási kulcs metaadat-objektumának nevét.
  4. Válasszon ki egy metaadat-objektumot, amely az oszlop főkulcsát jelöli az adatbázisban.
  5. Kattintson OKgombra.

A párbeszédpanel befejezése után az SQL Server Management Studio (SSMS) létrehoz egy új oszloptitkosítási kulcsot. Az SSMS ezután lekéri az adatbázisból kiválasztott oszlop főkulcsának metaadatait. Az SSMS ezután az oszlop főkulcsának metaadataival kapcsolatba lép az oszlop főkulcsát tartalmazó kulcstárolóval, és titkosítja az oszloptitkosítási kulcsot. Végül az SSMS létrehozza az új oszloptitkosítás metaadatait az adatbázisban egy CREATE COLUMN ENCRYPTION KEY (Transact-SQL) utasítás létrehozásával és kiadásával.

Jegyzet

Az Azure Key Vaultban felügyelt HSM- tárolt oszlop főkulcsainak használatához az SSMS 18.9-es vagy újabb verziója szükséges.

Oszloptitkosítási kulcs telepítésének engedélyei

Szükség van a AZ OSZLOPTITKOSÍTÁSI KULCS MÓDOSÍTÁSÁHOZ és a AZ OSZLOP FŐKULCSDEFINÍCIÓJÁNAK MEGTEKINTÉSÉHEZ adatbázis-engedélyekre ahhoz, hogy a párbeszédpanel létre tudja hozni az oszloptitkosítási kulcs metaadatait és hozzáférhessen az oszlop-főkulcs metaadataihoz. Az oszlop főkulcsának eléréséhez és használatához kulcstároló-engedélyekre is szüksége van. A kulcskezelési műveletekhez szükséges kulcstároló-engedélyekkel kapcsolatos részletes információkért lépjen a Always Encrypted oszlop főkulcsainak létrehozása és tárolása oldalra, és keresse meg a kulcstárolójához kapcsolódó szakaszt.

Mindig titkosított kulcsok kiépítése az Always Encrypted varázslóval

A Mindig titkosított varázsló a kijelölt adatbázisoszlopok titkosítására, visszafejtésére és újratitkosítására szolgáló eszköz. Bár már konfigurált kulcsokat is használhat, lehetővé teszi egy új oszlop főkulcsának és egy új oszloptitkosításnak a generálását is.

Következő lépések

Lásd még:

  • Last updated on