CREATE ASYMMETRIC KEY (Transact-SQL)
在資料庫中建立非對稱金鑰。
語法
CREATE ASYMMETRIC KEY Asym_Key_Name
[ AUTHORIZATION database_principal_name ]
{
[ FROM <Asym_Key_Source> ]
|
WITH <key_option>
[ ENCRYPTION BY <encrypting_mechanism> ]
<Asym_Key_Source>::=
FILE = 'path_to_strong-name_file'
|
EXECUTABLE FILE = 'path_to_executable_file'
|
ASSEMBLY Assembly_Name
|
PROVIDER Provider_Name
<key_option> ::=
ALGORITHM = <algorithm>
|
PROVIDER_KEY_NAME = 'key_name_in_provider'
|
CREATION_DISPOSITION = { CREATE_NEW | OPEN_EXISTING }
<algorithm> ::=
{ RSA_512 | RSA_1024 | RSA_2048 }
<encrypting_mechanism> ::=
PASSWORD = 'password'
引數
FROM Asym_Key_Source
指定載入非對稱金鑰組時所在的來源。AUTHORIZATION database_principal_name
指定非對稱金鑰的擁有者。該擁有者不能是角色或群組。如果省略了這個選項,該擁有者便是目前的使用者。FILE = 'path_to_strong-name_file'
指定載入金鑰組時所在的強式名稱檔案之路徑。EXECUTABLE FILE = 'path_to_executable_file'
指定載入公開金鑰時所在的組件檔案。ASSEMBLY Assembly_Name
指定載入公開金鑰時所在的組件之名稱。ENCRYPTION BY <key_name_in_provider>
指定如何加密金鑰。可以是憑證、密碼或非對稱金鑰。KEY_NAME = 'key_name_in_provider'
從外部提供者指定金鑰名稱。如需有關外部金鑰管理的詳細資訊,請參閱<了解可延伸金鑰管理 (EKM)>。CREATION_DISPOSITION = CREATE_NEW
在可延伸金鑰管理裝置上建立新的金鑰。PROV_KEY_NAME 必須用於指定裝置上的金鑰名稱。如果金鑰已存在於裝置上,陳述式會失敗,並傳回錯誤。CREATION_DISPOSITION = OPEN_EXISTING
將 SQL Server 非對稱金鑰對應到現有的「可延伸金鑰管理」金鑰。PROV_KEY_NAME 必須用於指定裝置上的金鑰名稱。如果未提供 CREATION_DISPOSITION = OPEN_EXISTING,預設值就是 CREATE_NEW。PASSWORD = 'password'
指定用來加密私密金鑰的密碼。如果這個子句不存在,此私密金鑰將會使用資料庫主要金鑰來加密。password 的上限為 128 個字元。password 必須符合執行 SQL Server 執行個體之電腦的 Windows 密碼原則需求。
備註
「非對稱金鑰」是資料庫層級的安全性實體。在它的預設格式中,這個實體同時包含公開金鑰和私密金鑰。如果執行時不使用 FROM 子句,CREATE ASYMMETRIC KEY 會產生新金鑰組。如果執行時使用 FROM 子句,CREATE ASYMMETRIC KEY 會從檔案匯入金鑰組,或從組件匯入公開金鑰。
依預設,私密金鑰由資料庫主要金鑰保護。如果尚未建立資料庫主要金鑰,則需要利用密碼保護私密金鑰。如果有資料庫主要金鑰,則密碼是選用的。
私密金鑰的長度可以是 512、1024 或 2048 位元。
權限
需要資料庫的 CREATE ASYMMETRIC KEY 權限。如果指定了 AUTHORIZATION 子句,則需要資料庫主體的 IMPERSONATE 權限或應用程式角色的 ALTER 權限。只有 Windows 登入、SQL Server 登入,以及應用程式角色可以擁有非對稱金鑰。群組和角色無法擁有非對稱金鑰。
範例
A. 建立非對稱金鑰
下列範例會利用 RSA_2048 演算法建立一個名稱為 PacificSales09 的非對稱金鑰,並利用密碼保護私密金鑰。
CREATE ASYMMETRIC KEY PacificSales09
WITH ALGORITHM = RSA_2048
ENCRYPTION BY PASSWORD = '<enterStrongPasswordHere>';
GO
B. 從檔案建立非對稱金鑰,並提供授權給使用者
下列範例會從儲存在檔案中的金鑰組建立非對稱金鑰 PacificSales19,然後授權使用者 Christina 使用該非對稱金鑰。
CREATE ASYMMETRIC KEY PacificSales19 AUTHORIZATION Christina
FROM FILE = 'c:\PacSales\Managers\ChristinaCerts.tmp'
ENCRYPTION BY PASSWORD = '<enterStrongPasswordHere>';
GO
C. 從 EKM 提供者建立非對稱金鑰
下列範例會從儲存在檔案中的金鑰組建立非對稱金鑰 EKM_askey1。然後會使用名稱為 EKMProvider1 的可延伸金鑰管理提供者,以及該提供者上名稱為 key10_user1 的金鑰加密。
CREATE ASYMMETRIC KEY EKM_askey1
FROM PROVIDER EKM_Provider1
WITH
ALGORITHM = RSA_512,
CREATION_DISPOSITION = CREATE_NEW
, PROVIDER_KEY_NAME = 'key10_user1' ;
GO
變更記錄
更新的內容 |
---|
已從 <encrypting_mechanism> 中移除 CERTIFICATE 和 ASYMMETRIC KEY 選項來更正語法。PASSWORD 是唯一有效的選項。 |