Depois de configurar o Always Encrypted, posso ver um certificado no meu usuário atual
ao selecionar
select * from sys.column_master_keys
sob o key_path vejo este local, mas não há local especificado para chaves de criptografia. Então, apenas esta exportação de certificado é suficiente? Ele contém chaves mestras e de criptografia juntas no mesmo certificado?
Obrigado
Correto, você afirmou que a Chave Mestra de Coluna (CMK) será criada/armazenada lá. Muito provavelmente isso foi feito através da GUI para gerar uma nova chave e salvá-la lá. Existem outras opções também para a CMK.
Correto, esse foi o local usado ao executar a atualização de metadados no SQL Server para onde a CMK existe. Como o SQL Server não sai e toca nesse Certificado (que não deveria estar no servidor), ele só sabe o que enviar de volta ao driver do cliente como metadados. O certificado contém um par de chaves assimétricas que é usado para criptografar e descriptografar a Column Encryption Key (CEK) que é armazenada dentro do SQL Server no mesmo banco de dados.
Supondo que o AE esteja configurado corretamente, o cliente precisa apenas desse certificado, sim. Obviamente, há permissões de nível de banco de dados necessárias para obter esses metadados, mas, em geral, o processo é discutível se você não tiver uma cópia da CMK.
Não, como eu disse, há a CMK que é o certificado que você criou e há a CEK que faz a criptografia e a descriptografia reais dos dados.
Você vai querer voltar e ler um pouco mais sobre Always Encrypted e como ele funciona, pois tudo isso é explicado na documentação.