Etablera Always Encrypted-nycklar med SQL Server Management Studio

gäller för:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Den här artikeln innehåller stegen för att etablera kolumnhuvudnycklar och kolumnkrypteringsnycklar för Always Encrypted med SQL Server Management Studio (SSMS). Se till att du installerar den senaste allmänt tillgängliga versionen (GA) av SSMS när du tilldelar krypteringsnycklar.

En översikt över Always Encrypted-nyckelhantering, inklusive rekommendationer för bästa praxis och viktiga säkerhetsöverväganden, finns i Översikt över nyckelhantering för Always Encrypted.

Etablera kolumnhuvudnycklar med dialogrutan Ny kolumnhuvudnyckel

Med dialogrutan Ny kolumnhuvudnyckel kan du generera en kolumnhuvudnyckel eller välja en befintlig nyckel i ett nyckelarkiv och skapa kolumnhuvudnyckelmetadata för den skapade eller valda nyckeln i databasen.

1. Med Object Explorernavigerar du till noden Security –> Always Encrypted Keys under databasen.

2. Högerklicka på noden kolumnmästarnycklar och välj Ny kolumnmästarnyckel....

3. I dialogrutan Ny kolumnhuvudnyckel anger du namnet på metadataobjektet för kolumnhuvudnyckeln.

4. Välj ett nyckelarkiv:

   • Certificate Store – aktuell användare – anger platsen för det aktuella användarcertifikatarkivet i Windows Certificate Store, som är ditt personliga arkiv.

   • Certificate Store – Lokal dator – anger platsen för certifikatarkivet för lokala datorer i Windows Certificate Store.

   • Azure Key Vault- – du måste logga in på Azure (klicka på Logga in). När du har loggat in kan du välja en av dina Azure-prenumerationer och ett nyckelvalv eller en hanterad HSM (kräver SSMS 18.9 eller senare).

     Anteckning

     För att använda kolumnhuvudnycklar som lagras i en hanterad HSM i Azure Key Vault krävs SSMS 18.9 eller en senare version.

   • Nyckellagringsprovider (KSP) – anger ett nyckelarkiv som är tillgängligt via en nyckellagringsprovider (KSP) som implementerar CNG-API:et (Cryptography Next Generation). Vanligtvis är den här typen av butik en maskinvarusäkerhetsmodul (HSM). När du har valt det här alternativet måste du välja en KSP. Microsoft Software Key Store Provider är valt som standard. Om du vill använda en kolumnhuvudnyckel som lagras i en HSM väljer du en KSP för enheten (den måste vara installerad och konfigurerad på datorn innan du öppnar dialogrutan).

   • CSP (Cryptographic Service Provider) – ett nyckelarkiv som är tillgängligt via en kryptografisk tjänstleverantör (CSP) som implementerar kryptografi-API:et (CAPI). Vanligtvis är en sådan lagringsplats en maskinvarusäkerhetsmodul (HSM). När du har valt det här alternativet måste du välja en CSP. Om du vill använda en kolumnhuvudnyckel som lagras i en HSM väljer du en CSP för enheten (den måste vara installerad och konfigurerad på datorn innan du öppnar dialogrutan).

   Notera

   Eftersom CAPI är ett inaktuellt API inaktiveras alternativet Kryptografitjänstprovider (CAPI) som standard. Du kan aktivera genom att skapa det CAPI-provideraktiverade DWORD-värdet under [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] nyckel i Windows-registret och ange den till 1. Du bör använda CNG i stället för CAPI, såvida inte nyckelarkivet inte stöder CNG.

   Mer information om nyckelarkiven ovan finns i Skapa och lagra kolumnhuvudnycklar för Always Encrypted.

5. Om du använder SQL Server 2019 (15.x) och SQL Server-instansen har konfigurerats med en säker enklav kan du markera kryssrutan Tillåt enklaverberäkningar för att göra huvudnyckeln enklavaktiverad. Mer information finns i Always Encrypted med säkra enklaver.

   Not

   Kryssrutan Tillåt enklaverberäkningar visas inte om SQL Server-instansen inte är korrekt konfigurerad med en säker enklav.

6. Välj en befintlig nyckel i nyckelarkivet eller klicka på knappen Generera nyckel eller Generera certifikat för att skapa en nyckel i nyckelarkivet.

7. Klicka på OK så visas den nya nyckeln i listan.

När du har slutfört dialogrutan skapar SQL Server Management Studio metadata för din kolumnhuvudnyckel i databasen. Dialogrutan genererar och utfärdar en CREATE COLUMN MASTER KEY (Transact-SQL)-instruktion.

Om du konfigurerar en enklavaktiverad kolumnhuvudnyckel signerar SSMS även metadata med hjälp av kolumnhuvudnyckeln.

Behörigheter för att tilldela en kolumnmästarnyckel

Du behöver ÄNDRA VALFRI KOLUMNHUVUDNYCKEL databasbehörighet i databasen för dialogrutan för att skapa en kolumnhuvudnyckel. Du behöver också behörigheter för nyckelarkivet för att få åtkomst till och använda huvudnyckeln för nyckelkolumnen. Detaljerad information om nyckellagringsbehörigheter som krävs för nyckelhanteringsåtgärder finns i Skapa och lagra kolumnhuvudnycklar för Always Encrypted och granska avsnittet som är relevant för ditt nyckelarkiv.

Etablera kolumnkrypteringsnycklar med dialogrutan Ny kolumnkrypteringsnyckel

Med dialogrutan ny kolumnkrypteringsnyckel kan du generera en kolumnkrypteringsnyckel, kryptera den med en kolumnhuvudnyckel och skapa kolumnkrypteringsnyckelmetadata i databasen.

1. Med Object Explorernavigerar du till mappen Security/Always Encrypted Keys under databasen.
2. Högerklicka på mappen Kolumnkrypteringsnycklar och välj Ny kolumnkrypteringsnyckel....
3. I dialogrutan ny kolumnkrypteringsnyckel anger du namnet på metadataobjektet för kolumnkrypteringsnyckeln.
4. Välj ett metadataobjekt som representerar din kolumnhuvudnyckel i databasen.
5. Klicka på OK.

När du har slutfört dialogrutan genererar SQL Server Management Studio (SSMS) en ny kolumnkrypteringsnyckel. SSMS hämtar sedan metadata för den kolumnhuvudnyckel som du valde från databasen. SSMS använder sedan kolumnhuvudnyckelmetadata för att kontakta nyckelarkivet som innehåller din kolumnhuvudnyckel och kryptera kolumnkrypteringsnyckeln. Slutligen skapar SSMS metadatadata för den nya kolumnkryptering i databasen genom att generera och utfärda en CREATE COLUMN ENCRYPTION KEY (Transact-SQL)-instruktion.

Not

Om du använder kolumnhuvudnycklar som lagras i en hanterade HSM- i Azure Key Vault krävs SSMS 18.9 eller en senare version.

Behörigheter för att etablera en kolumnkrypteringsnyckel

Du behöver databasbehörigheterna ÄNDRA KOLUMNKRYPTERINGSNYCKEL och VISA ALLA KOLUMN HUVUDNYCKELDEFINITIONER i databasen för att dialogrutan ska kunna skapa kolumnkrypteringsnyckelmetadata och för att komma åt huvudsaklig kolumnnyckelmetadata. Du behöver också behörigheter för nyckellagring för att komma åt och använda kolumnhuvudnyckeln. Detaljerad information om nyckellagringsbehörigheter som krävs för nyckelhanteringsåtgärder finns i Skapa och lagra kolumnhuvudnycklar för Always Encrypted och hitta ett avsnitt som är relevant för ditt nyckelarkiv.

Etablera Always Encrypted Keys med hjälp av guiden Always Encrypted

Guiden Always Encrypted är ett verktyg för kryptering, dekryptering och omkryptering av valda databaskolumner. Även om den kan använda redan konfigurerade nycklar kan du också generera en ny kolumnhuvudnyckel och en ny kolumnkryptering.

Nästa steg

• Konfigurera kolumnkryptering med hjälp av guiden Always Encrypted
• Konfigurera kolumnkryptering med Always Encrypted med ett DAC-paket
• Rotera Always Encrypted-nycklar med SQL Server Management Studio
• Utveckla program med Always Encrypted
• Migrera data till eller från kolumner med hjälp av SQL Server Import and Export-guiden Always Encrypted

Se även

• Always Encrypted
• Översikt över nyckelhantering för Always Encrypted
• Skapa och lagra kolumnhuvudnycklar för Always Encrypted
• Konfigurera Always Encrypted med SQL Server Management Studio
• Etablera Always Encrypted-nycklar med PowerShell-
• SKAPA KOLUMNHUVUDNYCKEL (Transact-SQL)
• TA BORT KOLUMNHUVUDNYCKEL (Transact-SQL)
• SKAPA KOLUMNKRYPTERINGSNYCKEL (Transact-SQL)
• ÄNDRA KOLUMNKRYPTERINGSNYCKEL (Transact-SQL)
• TA BORT KOLUMNKRYPTERINGSNYCKEL (Transact-SQL)
• sys.column_master_keys (Transact-SQL)
• sys.column_encryption_keys (Transact-SQL)