2 台のサーバーで同じ対称キーを作成する方法
暗号化テキストの暗号化を解除するには、暗号化に使用したキーが必要です。1 つのデータベースで暗号化と暗号化解除の両方が行われる場合、データベースに格納されているキーを、権限に応じて暗号化と暗号化解除の両方に使用できます。一方、暗号化と暗号化解除が別々のデータベースまたは別々のサーバーで行われる場合、一方のデータベースに格納されているキーを他方のデータベースで使用することはできません。ここでは、2 つの異なるサーバー上のデータベースに共通の対称キーを設定する方法について説明します。
概要
同じ対称キーを作成することは難しくありません。同じ KEY_SOURCE、ALGORITHM、および IDENTITY_VALUE キー オプションを使用して作成された対称キーは同じになります。対称キーを作成する前に、SQL Server のキー管理メカニズムが初期化されていることを確認してください。このメカニズムがまだ存在していない場合は、データベースのマスタ キーを作成して自動キー管理を有効にし、対称キーの暗号化に使用する証明書を作成します。必要に応じて、対称キーをパスワードで保護することもできます。詳細については、「CREATE SYMMETRIC KEY (Transact-SQL)」を参照してください。
例
次の例では、2 台のサーバーに同じ対称キーを作成します。この例では、AES_256 暗号化アルゴリズムを使用します。Windows XP および Windows Server 2000 では AES 暗号化アルゴリズムはサポートされていないため、TRIPLE_DES などの他のアルゴリズムを指定する必要があります。
次の CREATE MASTER KEY、CREATE CERTIFICATE、および CREATE SYMMETRIC KEY ステートメントを両方のサーバーで実行し、キーを作成します。
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'My p@55w0Rd'; GO CREATE CERTIFICATE [cert_keyProtection] WITH SUBJECT = 'Key Protection'; GO CREATE SYMMETRIC KEY [key_DataShare] WITH KEY_SOURCE = 'My key generation bits. This is a shared secret!', ALGORITHM = AES_256, IDENTITY_VALUE = 'Key Identity generation bits. Also a shared secret' ENCRYPTION BY CERTIFICATE [cert_keyProtection]; GO初めに、一方のサーバーで OPEN SYMMETRIC KEY ステートメントおよび SELECT ステートメントを実行してキーをテストします。
OPEN SYMMETRIC KEY [key_DataShare] DECRYPTION BY CERTIFICATE cert_keyProtection; GO SELECT encryptbykey(key_guid('key_DataShare'), 'MyData' ) GO -- For example, the output might look like this: 0x2152F8DA8A500A9EDC2FAE26D15C302DA70D25563DAE7D5D1102E3056CE9EF95CA3E7289F7F4D0523ED0376B155FE9C3他方のサーバーで、上の SELECT ステートメントの結果を次のコードの @blob 値として貼り付け、次のコードを実行して、このキーで暗号化テキストの暗号化を解除できることを確認します。
OPEN SYMMETRIC KEY [key_DataShare] DECRYPTION BY CERTIFICATE cert_keyProtection; GO DECLARE @blob varbinary(8000); SET @blob = SELECT CONVERT(varchar(8000), decryptbykey(@blob)); GO両方のサーバーで対称キーを終了します。
CLOSE SYMMETRIC KEY [key_DataShare]; GO