SQL Server - 使用聚集索引时如何存储数据页

Question

StrayCatDBA

Asked: 2023-10-27 04:56:04 +0800 CST2023-10-27 04:56:04 +0800 CST 2023-10-27 04:56:04 +0800 CST

通过 powershell 从 Key Vault 下载带有私钥的证书，以便在 SQL Server (TDE) 中使用

772

我需要从 Azure Key Vault 下载 x509 证书并将其导入 SQL Server 以用于 TDE。

注意：我不是指 EKM 提供程序/异步密钥，其中 SQL 访问密钥保管库以在需要时提取密钥。

我的用例很简单：从密钥保管库获取证书并将其加载到 SQL Server 中。由于安全要求，无法将证书保存到 SQL Server 可以访问的文件中。

我可以成功下载证书并将其转换为 X509Certificate2 对象，但是当我在 SQL Server 中运行 CREATE CERTIFICATE 语句时，它成功完成但不包含私钥。

我相信我需要指定一个PRIVATE KEY (BINARY = private_key_bits )子句，但我不知道如何以 SQL Server 可接受的格式从 X509Certificate2 对象中提取私钥。

此 powershell 脚本运行时没有错误，但不包含私钥：

 $keyVault = "my-key-vault"
 $CertName = "tde-certificate"

 $SQLInstance = ".\SQLEXPRESS"
 $SQLCertName = "KeyVault_TDECert"


# download the KeyVaultSecret for the cert as base64 string
$certBase64 = Get-AzKeyVaultSecret -VaultName $keyVault -Name $CertName -AsPlainText

# Convert to a [System.Security.Cryptography.X509Certificates.X509Certificate2] object
$certBytes = [convert]::FromBase64String($certBase64)
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2( $certBytes, $null)  # byte[], $null for password

# CREATE CERTIFICATE in SQL Server.
# $cert.GetRawCertDataString() returns hex encoded data, which SQL Server gladly accepts.

$sql = "CREATE CERTIFICATE [$SQLCertName] FROM BINARY = 0x$($cert.GetRawCertDataString()) "

Invoke-sqlcmd -ServerInstance $SQLInstance -Database master -Query $sql

$cert.HasPrivateKey返回$true。

$cert.PrivateKey.key.ExportPolicyequalNone应该意味着不受限制。

 $cert.PrivateKey.key | Select-Object *

Algorithm          : RSA
AlgorithmGroup     : RSA
ExportPolicy       : None
Handle             : Microsoft.Win32.SafeHandles.SafeNCryptKeyHandle
IsEphemeral        : False
IsMachineKey       : False
KeyName            : <xxxxxx>
KeySize            : 3072
KeyUsage           : AllUsages
ParentWindowHandle : 0
Provider           : Microsoft Enhanced RSA and AES Cryptographic Provider
ProviderHandle     : Microsoft.Win32.SafeHandles.SafeNCryptProviderHandle
UIPolicy           : System.Security.Cryptography.CngUIPolicy
UniqueName         : <xxxxxxx>

如何使用私钥从 Key Vault 下载证书并将其加载到 SQL Server 中？

更新1：

更改为 .Export("pfx"); 需要将“Exportable”添加到构造函数以使私钥可导出。

$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2( $certBytes, $null)  # byte[], $null for password

# CREATE CERTIFICATE in SQL Server.
# $cert.GetRawCertDataString() returns hex encoded data, which SQL Server gladly accepts.

$sql = "CREATE CERTIFICATE [$SQLCertName] FROM BINARY = 0x$($cert.GetRawCertDataString()) "

到

$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2( $certBytes, $null, "Exportable")  # byte[], $null for password,

# CREATE CERTIFICATE in SQL Server.
# $cert.GetRawCertDataString() returns hex encoded data, which SQL Server gladly accepts.

$sql = "CREATE CERTIFICATE [$SQLCertName] FROM BINARY = 0x$([Convert]::ToHexString($cert.Export(Pfx))) "

现在我收到一个 SQL 错误：

Msg 15468, Level 16, State 6, Line 5
An error occurred during the generation of the certificate.

Google 发现了一篇旧的 MS 博客文章，其中发生这种情况是由于 pfx 不是受支持的证书格式（影响 SQL 2014）。我正在 SQL 2022 上进行测试（但希望支持 2016+）

1 个回答

Voted

StrayCatDBA · Answer 1 · 2023-10-31T03:25:55+08:00

Get-AzKeyVaultSecret 允许你将证书下载为 .pfx 文件。SQL Server 期望公共证书数据采用 DER 格式，而私钥数据采用 .pvk 格式。

X509Certificate2.GetRawCertDataString() 方法返回 DER 格式的公共数据。

.pvk 是 Microsoft 专有格式，是 csp blob 的薄包装。csp blob 是本机 Win32 加密 API 中使用的私钥二进制表示形式。此问题的格式详细信息：How do I create/export to a .PVK file using C#? 。

# download the KeyVaultSecret for the cert as base64 string
$certBase64 = Get-AzKeyVaultSecret -VaultName $keyVault -Name $CertName -AsPlainText

#convert to a [System.Security.Cryptography.X509Certificates.X509Certificate2] object
$certBytes = [convert]::FromBase64String($certBase64)
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2( $certBytes, $null, "Exportable")  # byte[], $null for password, "Exportable"

# GetRawCertData() is DER format
$certHex = $cert.GetRawCertDataString()

# $cert.PrivateKey is a [System.Security.Cryptography.RSACng]
# convert to type [RSACryptoServiceProvider] so we can call ExportCspBlob()
$keyParams = $cert.PrivateKey.ExportParameters($true)
$rsaProvider = new-object System.Security.Cryptography.RSACryptoServiceProvider
$rsaProvider.ImportParameters($keyParams)
$cspBlob = $rsaProvider.ExportCspBlob($true)

# pvk header, from  https://stackoverflow.com/questions/51750788/how-do-i-create-export-to-a-pvk-file-using-c
#
# [uint]0xB0B5F11E   # PVK magic number
# [uint]0
# [uint]1     # KEYTYPE_KEYX for RSA
# [uint]0     # not encrypted
# [uint]0     # encryption salt length

$pvkHeader =  [convert]::ToHexString([System.BitConverter]::GetBytes(0xB0B5F11E)) `
    + [convert]::ToHexString([System.BitConverter]::GetBytes(0u)) `
    + [convert]::ToHexString([System.BitConverter]::GetBytes(1u)) `
    + [convert]::ToHexString([System.BitConverter]::GetBytes(0u)) `
    + [convert]::ToHexString([System.BitConverter]::GetBytes(0u)) `
    + [convert]::ToHexString([System.BitConverter]::GetBytes([Uint32]$cspBlob.Length))

$privateKeyHex = $pvkHeader + [Convert]::ToHexString($cspBlob)

$sql = "CREATE CERTIFICATE [$SQLCertName] FROM BINARY = 0x$($certHex) 
`n
WITH PRIVATE KEY `n(BINARY = 0x$($privateKeyHex));
"

Invoke-sqlcmd -ServerInstance $SQLInstance -Database master -Query $sql

通过 powershell 从 Key Vault 下载带有私钥的证书，以便在 SQL Server (TDE) 中使用

更新1：

连接到 PostgreSQL 服务器：致命：主机没有 pg_hba.conf 条目

如何让sqlplus的输出出现在一行中？

选择具有最大日期或最晚日期的日期

如何列出 PostgreSQL 中的所有模式？

列出指定表的所有列

如何在不修改我自己的 tnsnames.ora 的情况下使用 sqlplus 连接到位于另一台主机上的 Oracle 数据库

你如何mysqldump特定的表？

使用 psql 列出数据库权限

如何从 PostgreSQL 中的选择查询中将值插入表中？

如何使用 psql 列出所有数据库和表？

通过 powershell 从 Key Vault 下载带有私钥的证书，以便在 SQL Server (TDE) 中使用

更新1：

1 个回答

相关问题