次の方法で共有


SQL Server の証明書と非対称キー

公開キー暗号化 (PKI) は、メッセージを秘匿する方法の 1 つです。この方法では、ユーザーが "公開" キーと "秘密" キーを作成します。 秘密キーは秘匿されますが、公開キーは他のユーザーに配布できます。 2 つのキーは数学的に相関していますが、公開キーを使用して秘密キーを簡単に導出することはできません。 公開キーはデータの暗号化に使用され、秘密キーはデータの暗号化解除に使用されます。 公開キーを使用して暗号化されたメッセージは、正しい秘密キーを使用しないと暗号化解除できません。 2 つの異なるキーが存在するので、これらのキーは 非対称です。

証明書と非対称キーは、どちらも非対称暗号化を使用するための手段です。 証明書は、有効期限や発行者などの詳細情報を格納できることから、非対称キーのコンテナーとしてよく使用されます。 この 2 つのメカニズムに暗号化アルゴリズムの違いはなく、同じキー長が指定された場合の強度にも違いはありません。 一般に、データベース内の他の種類の暗号化キーを暗号化する場合や、コード モジュールに署名する場合は、証明書を使用します。

証明書と非対称キーは、一方が暗号化したデータを暗号化解除できます。 一般に、データベース内のストレージに対する対称キーを暗号化する場合は、非対称暗号化を使用します。

公開キーには証明書のような特定の形式がありません。また、公開キーはファイルにエクスポートできません。

注意

SQL Server には、サーバーとデータベースで使用するための証明書とキーを作成および管理できる機能が用意されています。 SQL Server を使用して、他のアプリケーションやオペレーティング システム用の証明書とキーを作成および管理することはできません。

証明書

証明書は、 SQL Serverの公開キー (およびオプションで秘密キー) を含んでいるデジタル署名されたセキュリティ オブジェクトです。 外部で生成された証明書を使用するか、または SQL Server で証明書を生成できます。

注意

SQL Server 証明書は、IETF X.509v3 の証明書標準に準拠しています。

証明書は、X.509 証明書ファイルに対してキーをエクスポートおよびインポートできるので便利です。 証明書を作成する構文では、有効期限などの証明書の作成オプションを指定できます。

SQL Server での証明書の使用

証明書は、データベース ミラーリングで接続を保護したり、パッケージや他のオブジェクトに署名したり、データや接続を暗号化したりする場合に使用できます。 SQL Serverの証明書に関するその他のリソースを次の表に示します。

トピック 説明
CREATE CERTIFICATE (Transact-SQL) 証明書を作成するためのコマンドについて説明します。
デジタル署名を使用してパッケージのソースを特定する 証明書を使用してソフトウェア パッケージに署名する方法について説明します。
データベース ミラーリング エンドポイントでの証明書の使用 (Transact-SQL) データベース ミラーリングで証明書を使用する方法について説明します。

非対称キー

非対称キーは、対称キーを保護するために使用します。 また、制限付きでデータを暗号化する場合や、データベース オブジェクトにデジタル署名する場合にも使用できます。 非対称キーは、秘密キーと対応する公開キーで構成されます。 非対称キーの詳細については、「 CREATE ASYMMETRIC KEY (Transact-SQL)」を参照してください。

非対称キーは、厳密な名前のキー ファイルからインポートできますが、エクスポートすることはできません。 また、有効期限のオプションもありません。 非対称キーで接続を暗号化することはできません。

SQL Server での非対称キーの使用

非対称キーは、データを保護したり、プレーンテキストに署名したりする場合に使用できます。 SQL Serverでの非対称キーに関するその他のリソースを次の表に示します。

トピック 説明
CREATE ASYMMETRIC KEY (Transact-SQL) 非対称キーを作成するためのコマンドについて説明します。
SIGNBYASYMKEY (Transact-SQL) オブジェクトに署名するためのオプションについて説明します。

ツール

Microsoft では、証明書および厳密な名前のキー ファイルを生成するツールとユーティリティを提供しています。 これらのツールでは、 SQL Server 構文よりも柔軟にキーを生成できます。 これらのツールを使用することで、より複雑なキー長の RSA キーを作成して SQL Serverにインポートできます。 次の表では、これらのツールの入手先を示します。

ツール 目的
makecert 証明書を作成します。
sn 対称キーの厳密名を作成します。

暗号化アルゴリズムの選択

CREATE SYMMETRIC KEY (Transact-SQL)

CREATE CERTIFICATE (Transact-SQL)

参照

sys.certificates (Transact-SQL)
透過的なデータ暗号化 (TDE)