Se eu criar colunas Always Encrypted no Microsoft SQL Server a partir do GUI do SSMS, ele criará um certificado autoassinado. Existe algum valor em fazer um CSR e pagar uma autoridade de certificação (ou usar letsencrypt.org) para fazer um certificado? Essa cadeia de confiança agrega e valoriza nesse caso?
Certificados de CAs confiáveis (como VeriSign) são usados quando você precisa de um certificado que deve ser capaz de provar seu emissor, propósito, validade, etc... Certificados para criptografia de dados como Always Encrypted normalmente não exigem tal prova, pois seus certificados normalmente não não flutue além de sua organização. Não conheço nenhum caso de uso em que você se beneficiaria do uso de um certificado CA de terceiros em uma implantação de AE. Mesmo quando você tem políticas rígidas de gerenciamento/rotação, não consigo pensar em nenhuma política comum que não possa ser implementada usando um certificado corporativo emitido ou mesmo um certificado autoassinado (embora o último tenha um pouco mais de trabalho manual).