主页 / dba / 问题 / 200408
Accepted
gotqn
Asked: 2018-03-16 12:39:25 +0800 CST

从外部提供商创建对称密钥

  • 772

了解安全对象层次结构后,我们可以看到,为了创建Symmetric Key和加密数据,我们需要创建:

  1. Database Master Key受密码保护
  2. Certificate这是受保护的Database Master key

  3. Symmetric Key自身,受Certificate

    在此处输入图像描述

Always Encrypted中,我们可以使用EKM模块来简化这种层次结构。例如,我们可以将证书存储在中Windows Certification Store,这些证书正在保护我们的加密主密钥。

我想知道,如果我不想使用Always Encrypted内置的加密功能,我可以使用EKM模块来创建和管理我的对称密钥(如图所示)。在CREATE SYMMETRIC KEY文档中,我们有provider选项,但没有足够的关于可能的提供者和示例的信息。

我对Certificate在外部存储中存储保护对称密钥或对称密钥很感兴趣,因为这样数据与密钥是分开的,在数据​​库中我们只存储对密钥的引用(就像总是加密的)。Windows Certification Store 对我来说是最佳选择,但我猜 Azure Key Vault 或其他东西也可以。

sql-server t-sql

1 个回答

  1. Best Answer

    tl;dr -CREATE CRYPTOGRAPHIC PROVIDER通过供应商提供的为此目的设计的 .DLL 文件,用于在 SQL Server 内部创建与 EKM/HSM 硬件/软件的连接。

    可以使用 Azure Key Vault 来保护本地数据。使用 Azure Key Vault 启用 Azure 帐户需要执行许多步骤,这些步骤在使用 Azure Key Vault 进行可扩展密钥管理的设置步骤中有详细说明。

    SQL Server中的步骤包括以下内容:

    1. 从Microsoft 下载中心安装适用于 Azure Key Vault 的 SQL Server 连接器。

    2. 运行以下代码以启用 EKM 提供程序:

      -- Enable advanced options.  
USE master;  
GO  

sp_configure 'show advanced options', 1;  
GO  
RECONFIGURE;  
GO  

-- Enable EKM provider  
sp_configure 'EKM provider enabled', 1;  
GO  
RECONFIGURE;

    3. 注册 EKM 模块:

      CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov   
FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';  
GO

    4. 为 SQL Server 连接到 Azure 设置凭据:

      USE master;  
CREATE CREDENTIAL sysadmin_ekm_cred   
    WITH IDENTITY = 'ContosoDevKeyVault', -- for public Azure
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.usgovcloudapi.net', -- for Azure Government
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.azure.cn', -- for Azure China
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.microsoftazure.de', -- for Azure Germany   
    SECRET = 'EF5C8E094D2A4A769998D93440D8115DReplace-With-AAD-Client-Secret'   
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov;  

-- Add the credential to the SQL Server administrator's domain login   
ALTER LOGIN [<domain>\<login>]  
ADD CREDENTIAL sysadmin_ekm_cred;

    5. 打开密钥库:

      CREATE ASYMMETRIC KEY CONTOSO_KEY   
FROM PROVIDER [AzureKeyVault_EKM_Prov]  
WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0',  
CREATION_DISPOSITION = OPEN_EXISTING;

    然后,您可以按照列出的步骤启用 TDE,以将 SQL Server 与 SQL 加密结合使用

    • 2

相关问题