Ich verschlüssele meine SQL Azure-Datenbank mit Immer mit KeyVault verschlüsselt. Was ich in Keyvault sehe, ist CMK im Keys-Bereich erstellt. Kann daraus ein Zertifikat erstellt werden? oder wo kann ich dieses Zertifikat von CMK finden?Immer verschlüsselt SQL Azure mit Keyvault - CMK-Zertifikat exportieren
In Azure Key Vault können Sie verschiedene Arten von Objekten erstellen: Schlüssel, Geheimnisse und Zertifikate. Bei "Immer verschlüsselt" müssen die in Azure Key Vault gespeicherten Spaltenhauptschlüssel Schlüsseltresorschlüssel sein. SSMS erstellt einen Key Vault-Schlüssel, wenn Sie den neuen Spaltenhauptschlüssel in einem Key Vault speichern. Übrigens, was SSMS beim Erstellen eines Schlüssels tut, entspricht dem Aufruf von Add-AzureKeyVaultKey.
Wenn ein Key Vault-Zertifikat erstellt wird (z. B. über Add-AzureKeyVaultCertificate), werden ein adressierbarer Schlüssel und ein geheimer Schlüssel ebenfalls mit demselben Namen erstellt - siehe https://docs.microsoft.com/en-us/rest/api/keyvault/about-keys--secrets-and-certificates#key-vault-certificates. Und Sie können den Schlüssel, der dem Zertifikat zugeordnet ist, auch als Spaltenhauptschlüssel verwenden. Ich bin mir jedoch nicht bewusst, dass dies ein praktischer Vorteil wäre: Ein Always Encrypted-fähiger Client-Treiber (z. B. ADO.NET) würde nicht einmal bemerken, dass der Schlüssel mit dem Zertifikat verknüpft ist.
Es kann nützlich sein, wenn Sie Ihre Geschäftsanforderungen beschreiben und erklären können, warum Sie einen Spaltenhauptschlüssel für ein Zertifikat halten.
Bitte beachten Sie, dass selbst wenn ein Spaltenhauptschlüssel ein echtes Zertifikat im Windows-Zertifikatspeicher (nicht in Key Vault) ist, Always Encrypted-enabled Treiber nur den öffentlichen Schlüssel und den privaten Schlüssel im Zertifikat verwenden und sie ignorieren alles andere. Insbesondere überprüft der Treiber niemals das Ablaufdatum des Zertifikats, die CA-Kette oder ob ein Zertifikat widerrufen wurde. Dies ist beabsichtigt - Hauptschlüssel schützen langlebige Daten und dieser Ansatz stellt sicher, dass Sie immer auf die Daten zugreifen können, solange Sie den Hauptschlüssel haben (z. B. wenn Sie eine Datenbanksicherungsdatei mit verschlüsselten Daten erstellen und wiederherstellen eine Datenbank von ihr einige Jahre später, sollten Sie in der Lage sein, auf Ihre Daten zuzugreifen).
dies kann Ihnen helfen. [Erste Schritte mit azure key vault-Zertifikaten] (https://blogs.technet.microsoft.com/kv/2016/09/26/get-started-with-azure-key-vault-certificates/) –