次の方法で共有


SQL Server の証明書と非対称キー

公開キー暗号化 (PKI) は、メッセージを秘匿する方法の 1 つです。この方法では、ユーザーが公開キーと秘密キーを作成します。秘密キーは秘匿されますが、公開キーは他のユーザーに配布できます。2 つのキーは数学的に相関していますが、公開キーを使用して秘密キーを簡単に導出することはできません。公開キーはデータの暗号化に使用され、秘密キーはデータの暗号化解除に使用されます。公開キーを使用して暗号化されたメッセージは、正しい秘密キーを使用しないと暗号化解除できません。2 つの異なるキーが存在するので、これらのキーは非対称です。

証明書と非対称キーは、どちらも非対称暗号化を使用するための手段です。証明書は、有効期限や発行者などの詳細情報を格納できることから、非対称キーのコンテナとしてよく使用されます。この 2 つのメカニズムに暗号化アルゴリズムの違いはなく、同じキー長が指定された場合の強度にも違いはありません。一般に、データベース内の他の種類の暗号化キーを暗号化する場合や、コード モジュールに署名する場合は、証明書を使用します。

証明書と非対称キーは、一方が暗号化したデータを暗号化解除できます。一般に、データベース内のストレージに対する対称キーを暗号化する場合は、非対称暗号化を使用します。

公開キーには証明書のような特定の形式がありません。また、公開キーはファイルにエクスポートできません。

注意

SQL Server には、サーバーとデータベースで使用する証明書とキーを作成し、管理するための機能が用意されています。他のアプリケーションやオペレーティング システムで使用する証明書とキーを SQL Server で作成および管理することはできません。

証明書

証明書は、SQL Server の公開キー (およびオプションで秘密キー) を含んでいるデジタル署名されたセキュリティ オブジェクトです。外部で生成された証明書を使用するか、または SQL Server で証明書を生成できます。

注意

SQL Server 証明書は、IETF X.509v3 の証明書標準に準拠しています。

証明書は、X.509 証明書ファイルに対してキーをエクスポートおよびインポートできるので便利です。証明書を作成する構文では、有効期限などの証明書の作成オプションを指定できます。

SQL Server での証明書の使用

証明書は、データベース ミラーリングで接続を保護したり、パッケージや他のオブジェクトに署名したり、データや接続を暗号化したりする場合に使用できます。SQL Server の証明書に関するその他のリソースを次の表に示します。

トピック

内容

CREATE CERTIFICATE (Transact-SQL)

証明書を作成するためのコマンドについて説明します。

証明書および Service Broker

Service Broker で証明書を使用する方法について説明します。

パッケージでのデジタル署名の使用

証明書を使用してソフトウェア パッケージに署名する方法について説明します。

ダイアログ セキュリティのための証明書

ダイアログで証明書を使用する方法について説明します。

データベース ミラーリングでの証明書の使用

データベース ミラーリングで証明書を使用する方法について説明します。

SQL Server への接続の暗号化

SQL Server との接続を暗号化する方法について説明します。

非対称キー

非対称キーは、対称キーを保護するために使用します。また、制限付きでデータを暗号化する場合や、データベース オブジェクトにデジタル署名する場合にも使用できます。非対称キーは、秘密キーと対応する公開キーで構成されます。非対称キーの詳細については、「CREATE ASYMMETRIC KEY (Transact-SQL)」を参照してください。

非対称キーは、厳密な名前のキー ファイルからインポートできますが、エクスポートすることはできません。また、有効期限のオプションもありません。非対称キーで接続を暗号化することはできません。

SQL Server での非対称キーの使用

非対称キーは、データを保護したり、プレーン テキストに署名したりする場合に使用できます。SQL Server での非対称キーに関するその他のリソースを次の表に示します。

トピック

内容

CREATE ASYMMETRIC KEY (Transact-SQL)

非対称キーを作成するためのコマンドについて説明します。

SignByAsymKey (Transact-SQL)

オブジェクトに署名するためのオプションについて説明します。

ツール

Microsoft では、証明書および厳密な名前のキー ファイルを生成するツールとユーティリティを提供しています。これらのツールでは、SQL Server 構文よりも柔軟にキーを生成できます。これらのツールを使用することで、より複雑なキー長の RSA キーを作成して SQL Server にインポートできます。次の表では、これらのツールの入手先を示します。

ツール

用途

makecert

証明書を作成します。

sn

対称キーの厳密名を作成します。