Sdílet prostřednictvím

Zřízení klíčů Always Encrypted pomocí aplikace SQL Server Management Studio

  • Článek

platí pro:SQL ServerAzure SQL Databaseazure SQL Managed Instance

Tento článek obsahuje postup zřízení hlavních klíčů sloupců a šifrovacích klíčů sloupců pro Always Encrypted pomocí aplikace SQL Server Management Studio (SSMS). Při zřizování šifrovacích klíčů nezapomeňte nainstalovat nejnovější verzi SSMS, která je obecně dostupná (GA).

Přehled správy klíčů Always Encrypted, včetně doporučení osvědčených postupů a důležitých aspektů zabezpečení, najdete v tématu Přehled správy klíčů pro funkci Always Encrypted.

Zřízení hlavních klíčů sloupců pomocí dialogového okna Nový hlavní klíč sloupce

Dialogové okno Nový hlavní klíč sloupce umožňuje vygenerovat hlavní klíč sloupce nebo vybrat existující klíč v úložišti klíčů a vytvořit metadata hlavního klíče sloupce pro vytvořený nebo vybraný klíč v databázi.

  1. Pomocí Průzkumníka objektůpřejděte do uzlu zabezpečení –> uzel Always Encrypted Keys pod vaší databází.

  2. Klikněte pravým tlačítkem myši na uzel hlavní klíče sloupců a vyberte Nový hlavní klíč sloupce....

  3. V dialogovém okně Nový hlavní klíč sloupce zadejte název objektu metadat hlavního klíče sloupce.

  4. Vyberte úložiště klíčů:

    • Úložiště certifikátů – aktuálního uživatele – označuje umístění úložiště certifikátů aktuálního uživatele ve službě Windows Certificate Store, což je vaše osobní úložiště.

    • Úložiště certifikátů – místní počítač – označuje umístění úložiště certifikátů místního počítače v úložišti certifikátů systému Windows.

    • služby Azure Key Vault – musíte se přihlásit do Azure (klikněte na Přihlásit se). Po přihlášení můžete vybrat jedno ze svých předplatných Azure a trezor klíčů nebo spravovaný HSM (vyžaduje SSMS 18.9 nebo novější).

      Poznámka

      Použití hlavních klíčů sloupců uložených v spravovaných HSM ve službě Azure Key Vault vyžaduje SSMS 18.9 nebo novější verzi.

    • zprostředkovatel úložiště klíčů (KSP) – označuje úložiště klíčů, které je přístupné prostřednictvím zprostředkovatele úložiště klíčů (KSP), který implementuje rozhraní API CNG (Cryptography Next Generation). Tento typ úložiště je obvykle modulem hardwarového zabezpečení (HSM). Po výběru této možnosti budete muset vybrat KSP. Poskytovatel softwarového úložiště klíčů Microsoft je vybrán ve výchozím nastavení. Pokud chcete použít hlavní klíč sloupce uložený v HSM, vyberte pro své zařízení KSP (před otevřením dialogového okna musí být nainstalovaný a nakonfigurovaný v počítači).

    • Zprostředkovatel kryptografických služeb (CSP) – úložiště klíčů, které je přístupné prostřednictvím zprostředkovatele kryptografických služeb (CSP), který implementuje rozhraní API kryptografie (CAPI). Takové úložiště je obvykle modul hardwarového zabezpečení (HSM). Po výběru této možnosti budete muset vybrat poskytovatele CSP. Pokud chcete použít hlavní klíč sloupce uložený v HSM, vyberte pro své zařízení CSP (musí se nainstalovat a nakonfigurovat na počítači před otevřením dialogového okna).

    Poznámka

    Vzhledem k tomu, že ROZHRANÍ CAPI je zastaralé rozhraní API, je ve výchozím nastavení možnost Zprostředkovatel kryptografických služeb (CAPI) zakázána. Můžete to povolit tím, že vytvoříte DWORD hodnotu 'CAPI Provider Enabled' pod klíčem [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] v registru systému Windows a nastavíte ji na hodnotu 1. Místo CAPI byste měli použít CNG, pokud úložiště klíčů nepodporuje CNG.

    Další informace o výše uvedených úložištích klíčů najdete v tématu Vytvoření a uložení hlavních klíčů sloupců pro funkci Always Encrypted.

  5. Pokud používáte SQL Server 2019 (15.x) a vaše instance SQL Serveru je nakonfigurovaná se zabezpečeným enklávem, můžete zaškrtnout políčko Povolit výpočty enklávy, aby se povolila enkláva hlavního klíče. Podrobnosti naleznete v části Always Encrypted se zabezpečenou enklávou.

    Poznámka

    Zaškrtávací políčko Povolit výpočty enklávy se nezobrazí, pokud vaše instance SQL Serveru není správně nakonfigurovaná se zabezpečeným enklávem.

  6. Vyberte existující klíč v úložišti klíčů nebo klikněte na tlačítko Vygenerovat klíč nebo vygenerovat certifikát a vytvořte klíč v úložišti klíčů.

  7. Klikněte na OK a nový klíč se zobrazí v seznamu.

Po dokončení dialogového okna sql Server Management Studio vytvoří metadata pro hlavní klíč sloupce v databázi. Dialogové okno vygeneruje a vydá příkaz CREATE COLUMN MASTER KEY (Transact-SQL).

Pokud konfigurujete hlavní klíč sloupce s podporou enklávy, SSMS také podepíše metadata pomocí tohoto klíče.

Oprávnění pro vytvoření hlavního klíče sloupce

K vytvoření hlavního klíče sloupce potřebujete v databázi databázové oprávnění ALTER ANY COLUMN MASTER KEY. Také potřebujete oprávnění k úložišti klíčů pro přístup k vašemu sloupcovému hlavnímu klíči a jeho použití. Podrobné informace o oprávněních k úložišti klíčů vyžadovaných pro operace správy klíčů najdete v tématu Vytvoření a uložení hlavních klíčů sloupců pro Always Encrypted a projděte si část související s úložištěm klíčů.

Zřízení šifrovacích klíčů sloupců pomocí dialogového okna Nový šifrovací klíč sloupce

Dialogové okno Nový šifrovací klíč sloupce umožňuje vygenerovat šifrovací klíč sloupce, zašifrovat ho pomocí hlavního klíče sloupce a vytvořit metadata šifrovacího klíče sloupce v databázi.

  1. Pomocí Průzkumníka objektůpřejděte do složky Zabezpečení/Klíče Always Encrypted ve vaší databázi.
  2. Klikněte pravým tlačítkem na složku Šifrovací klíče sloupce a vyberte Nový šifrovací klíč sloupce....
  3. V dialogovém okně Nový šifrovací klíč sloupce zadejte název objektu metadat šifrovacího klíče sloupce.
  4. Vyberte objekt metadat, který představuje hlavní klíč sloupce v databázi.
  5. Klepněte na tlačítko OK.

Po dokončení dialogového okna sql Server Management Studio (SSMS) vygeneruje nový šifrovací klíč sloupce. SSMS pak načte metadata pro hlavní klíč sloupce, který jste vybrali z databáze. SSMS pak pomocí metadat hlavního klíče sloupce kontaktuje úložiště klíčů obsahující hlavní klíč sloupce a zašifruje šifrovací klíč sloupce. SSMS nakonec vytvoří metadata pro nové šifrování sloupců v databázi generováním a vystavením příkazu CREATE COLUMN ENCRYPTION KEY (Transact-SQL).

Poznámka

Použití hlavních klíčů sloupců uložených v spravovaných HSM ve službě Azure Key Vault vyžaduje SSMS 18.9 nebo novější verzi.

Oprávnění pro poskytnutí klíče šifrování sloupce

Potřebujete oprávnění ALTER ANY COLUMN ENCRYPTION KEY a VIEW ANY COLUMN MASTER KEY DEFINITION v databázi, aby bylo možné vytvořit metadata šifrovacího klíče sloupce a získat přístup k metadatům hlavního klíče sloupce. K přístupu a používání hlavního klíče sloupce potřebujete také oprávnění k úložišti klíčů. Podrobné informace o oprávněních k úložišti klíčů vyžadovaných pro operace správy klíčů najdete v tématu Vytvoření a uložení hlavních klíčů sloupců pro Always Encrypted a vyhledejte část, která je relevantní pro vaše úložiště klíčů.

Zřízení klíčů Always Encrypted pomocí Průvodce Always Encrypted

Průvodce Always Encrypted je nástroj pro šifrování, dešifrování a opětovné šifrování vybraných sloupců databáze. I když může používat už nakonfigurované klíče, umožňuje také vygenerovat nový hlavní klíč sloupce a nové šifrování sloupců.

Další kroky

Viz také