Erstellen und Speichern von Spaltenhauptschlüsseln für Always Encrypted

Gilt für:SQL ServerAzure SQL-DatenbankAzure SQL Managed Instance

Spaltenhauptschlüssel sind Schlüsselschutzschlüssel, die in Always Encrypted zur Verschlüsselung von Spaltenverschlüsselungsschlüsseln verwendet werden. Spaltenhauptschlüssel müssen in einem vertrauenswürdigen Schlüsselspeicher gespeichert werden. Die Schlüssel müssen für Anwendungen verfügbar sein, die Daten ver- oder entschlüsseln müssen. Auch Tools, die Always Encrypted konfigurieren und Always Encrypted-Schlüssel verwalten, müssen auf die Spaltenhauptschlüssel zugreifen können.

Dieser Artikel bietet ausführliche Informationen zum Auswählen eines Schlüsselspeichers und Erstellen von Spaltenhauptschlüsseln für Always Encrypted. Einen detaillierten Überblick finden Sie unter Übersicht über die Schlüsselverwaltung für Always Encrypted.

Auswählen eines Schlüsselspeichers für Ihren Spaltenhauptschlüssel

Always Encrypted unterstützt mehrere Schlüsselspeicher zum Speichern von Always Encrypted-Spaltenhauptschlüsseln. Die unterstützten Schlüsselspeicher richten sich danach, welchen Treiber und welche Version Sie verwenden.

Es gibt zwei allgemeine Kategorien von Schlüsselspeichern: Lokale Schlüsselspeicherund Zentrale Schlüsselspeicher.

Lokaler oder zentraler Schlüsselspeicher?

• Lokale Schlüsselspeicher können nur von Anwendungen auf Computern verwendet werden, die den lokalen Schlüsselspeicher enthalten. Anders gesagt: Sie müssen den Schlüsselspeicher und den Schlüssel auf jedem Computer replizieren, auf dem Ihre Anwendung ausgeführt wird. Ein Beispiel eines lokalen Schlüsselspeichers ist der Windows-Zertifikatspeicher. Wenn Sie einen lokalen Schlüsselspeicher verwenden, müssen Sie sicherstellen, dass der Schlüsselspeicher auf jedem Computer vorhanden ist, der Ihre Anwendung hostet. Sie müssen auch sicherstellen, dass auf dem Computer die Spaltenhauptschlüssel gespeichert sind, die Ihre Anwendung für den Zugriff auf durch Always Encrypted geschützte Daten benötigt. Wenn Sie zum ersten Mal einen Spaltenhauptschlüssel bereitstellen oder den Schlüssel ändern (rotieren), müssen Sie sicherstellen, dass der Schlüssel auf allen Computern bereitgestellt wird, die Ihre Anwendung(en) hosten.

• Zentrale Schlüsselspeicher stellen Schlüssel für Anwendungen auf mehreren Computern bereit. Ein Beispiel eines zentralen Schlüsselspeichers ist Azure Key Vault. Ein zentraler Schlüsselspeicher vereinfacht die Schlüsselverwaltung, weil Sie nicht mehrere Kopien Ihrer Spaltenhauptschlüssel auf mehreren Computern verwalten müssen. Stellen Sie sicher, dass Ihre Anwendungen so konfiguriert sind, dass sie eine Verbindung mit dem zentralen Schlüsselspeicher herstellen können.

Welche Schlüsselspeicher werden in für Always Encrypted aktivierten Clienttreibern unterstützt?

Für Always Encrypted aktivierte Clienttreiber sind SQL Server-Clienttreiber, die über integrierte Unterstützung für die Einbindung von Always Encrypted in Ihre Clientanwendungen verfügen. Für Always Encrypted aktivierte Treiber enthalten einige integrierte Anbieter für beliebte Schlüsselspeicher. Einige Treiber ermöglichen Ihnen die Implementierung und Registrierung eines benutzerdefinierten Speicheranbieters für Spaltenhauptschlüssel, sodass Sie jeden Schlüsselspeicher verwenden können, auch wenn kein integrierter Anbieter vorhanden ist. Bedenken Sie bei der Entscheidung zwischen einem integrierten und einem benutzerdefinierten Anbieter, dass ein integrierter Anbieter in der Regel weniger Änderungen an Ihren Anwendungen erfordert (in einigen Fällen muss nur eine Verbindungszeichenfolge für die Datenbank geändert werden).

Die verfügbaren integrierten Anbieter richten sich danach, welcher Treiber, welche Treiberversion und welches Betriebssystem ausgewählt werden. Lesen Sie die Always Encrypted-Dokumentation für Ihren jeweiligen Treiber, um zu ermitteln, welche Schlüsselspeicher standardmäßig unterstützt werden und ob Ihr Treiber benutzerdefinierte Schlüsselspeicheranbieter unterstützt: Entwickeln von Anwendungen mit Always Encrypted.

Welche Schlüsselspeicher werden in SQL-Tools unterstützt?

SQL Server Management Studio, Azure Data Studio und das PowerShell-Modul SqlServer unterstützen Spaltenhauptschlüssel, die folgendermaßen gespeichert sind:

• In Schlüsseltresoren und verwalteten HSMs im Azure Key Vault

  Hinweis

  Für verwaltete HSMs sind mindestens SSMS 18.9 und Version 21.1.18235 des PowerShell-Moduls SqlServer erforderlich. Azure Data Studio unterstützt derzeit keine verwalteten HSMs.

• Im Windows-Zertifikatspeicher

• In Schlüsselspeichern wie Hardwaresicherheitsmodulen mit einer CNG-API (Cryptography Next Generation) oder Kryptografie-API (CAPI, Cryptography API)

Erstellen von Spaltenhauptschlüsseln im Windows-Zertifikatspeicher

Ein Spaltenhauptschlüssel kann ein Zertifikat sein, das im Windows-Zertifikatspeicher gespeichert ist. Ein Always Encrypted-fähiger Treiber überprüft weder Ablaufdatum noch Zertifizierungsstellenkette. Ein Zertifikat wird einfach als Schlüsselpaar verwendet, das aus einem öffentlichen und einem privaten Schlüssel besteht.

Ein Zertifikat muss folgende Anforderungen erfüllen, um als gültiger Spaltenhauptschlüssel verwendet werden zu können:

• Es muss sich um ein X.509-Zertifikat handeln.
• Es muss in einem der beiden Zertifikatspeicherorte gespeichert werden: lokaler Computer oder aktueller Benutzer. (Um ein Zertifikat im Zertifikatspeicherort des lokalen Computers zu erstellen, müssen Sie Administrator auf dem Zielcomputer sein.)
• Es muss einen privaten Schlüssel enthalten (die empfohlene Länge der Schlüssel im Zertifikat beträgt 2048 Bits oder mehr).
• Es muss für den Schlüsselaustausch erstellt worden sein.

Es gibt mehrere Möglichkeiten, ein Zertifikat zu erstellen, das als gültiger Spaltenhauptschlüssel fungiert – die einfachste Methode ist jedoch die Erstellung eines selbstsignierten Zertifikats.

Erstellen eines selbstsignierten Zertifikats mit PowerShell

Verwenden Sie das Cmdlet New-SelfSignedCertificate , um ein selbstsigniertes Zertifikat zu erstellen. Das folgende Beispiel zeigt, wie Sie ein Zertifikat generieren, das als Spaltenhauptschlüssel für Always Encrypted verwendet werden kann.

# New-SelfSignedCertificate is a Windows PowerShell cmdlet that creates a self-signed certificate. The below examples show how to generate a certificate that can be used as a column master key for Always Encrypted.
$cert = New-SelfSignedCertificate -Subject "AlwaysEncryptedCert" -CertStoreLocation Cert:CurrentUser\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage KeyEncipherment -KeySpec KeyExchange -KeyLength 2048 

# To create a certificate in the local machine certificate store location you need to run the cmdlet as an administrator.
$cert = New-SelfSignedCertificate -Subject "AlwaysEncryptedCert" -CertStoreLocation Cert:LocalMachine\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage KeyEncipherment -KeySpec KeyExchange -KeyLength 2048

Erstellen eines selbstsignierten Zertifikats in SQL Server Management Studio (SSMS)

Informationen finden Sie unter Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio. Ein Schritt-für-Schritt-Tutorial, das SSMS verwendet und Always Encrypted-Schlüssel im Windows-Zertifikatspeicher speichert, finden Sie unter Tutorial zum Always Encrypted-Assistenten (Windows-Zertifikatspeicher).

Verfügbarmachen von Zertifikaten für Anwendungen und Benutzer

Wenn es sich bei Ihrem Spaltenhauptschlüssel um ein Zertifikat handelt, das im Zertifikatspeicherort lokaler Computer gespeichert ist, müssen Sie das Zertifikat mit dem privaten Schlüssel exportieren. Anschließend müssen Sie es auf allen Computern importieren, auf denen Anwendungen gehostet werden, die Daten in verschlüsselten Spalten ver- oder entschlüsseln sollen, oder auf denen Tools für die Konfiguration von Always Encrypted und für die Verwaltung der Always Encrypted-Schlüssel verwendet werden. Außerdem muss jedem Benutzer eine Leseberechtigung für das im Zertifikatspeicherort des lokalen Computers gespeicherte Zertifikat gewährt werden, damit der Benutzer das Zertifikat als Spaltenhauptschlüssel verwenden kann.

Wenn es sich bei Ihrem Spaltenhauptschlüssel um ein Zertifikat handelt, das im Zertifikatspeicherort aktueller Benutzer gespeichert ist, müssen Sie das Zertifikat mit dem privaten Schlüssel exportieren. Anschließend müssen Sie es in den Zertifikatspeicherort des aktuellen Benutzers für alle Benutzerkonten importieren, mit denen Anwendungen ausgeführt werden, die Daten in verschlüsselten Spalten ver- oder entschlüsseln sollen, oder mit denen Tools für die Konfiguration von Always Encrypted und für die Verwaltung der Always Encrypted-Schlüssel verwendet werden (auf allen Computern, die diese Anwendungen/Tools enthalten). Es muss keine Berechtigung konfiguriert werden – nach dem Anmelden bei einem Computer kann ein Benutzer auf alle Zertifikate im Zertifikatspeicherort des aktuellen Benutzers zugreifen.

PowerShell

Verwenden Sie die Cmdlets Import-PfxCertificate und Export-PfxCertificate , um ein Zertifikat zu importieren und zu exportieren.

Verwenden der Microsoft Management Console

Um einem Benutzer die Berechtigung Lesen für ein im Zertifikatspeicherort des lokalen Computers gespeichertes Zertifikat zu gewähren, führen Sie die folgenden Schritte aus:

1. Öffnen Sie eine Eingabeaufforderung, und geben Sie mmcein.
2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.
3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.
5. Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.
6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.
7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
8. Suchen Sie im Snap-In "Zertifikate" das Zertifikat im Ordner "Persönliche Zertifikate>", klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Private Schlüssel verwalten".
9. Fügen Sie bei Bedarf im Dialogfeld Sicherheit die Leseberechtigung für ein Benutzerkonto hinzu.

Erstellen von Spaltenhauptschlüsseln in Azure Key Vault

Azure Key Vault hilft beim Schutz von kryptografischen Schlüsseln und Geheimnissen und ist eine praktische Möglichkeit zum Speichern von Spaltenhauptschlüsseln für Always Encrypted, insbesondere, wenn Ihre Anwendungen in Azure gehostet werden. Um einen Schlüssel in Azure Key Vaultzu erstellen, benötigen Sie ein Azure-Abonnement und einen Azure-Schlüsseltresor. Ein Schlüssel kann in einem Schlüsseltresor oder in einem verwalteten HSM gespeichert werden. Der im Azure Key Vault verwaltete Schlüssel ist nur als Spaltenhauptschlüssel zulässig, wenn es sich um einen RSA-Schlüssel handelt.

Mithilfe der Azure CLI, des Azure-Portals oder von PowerShell

Hier finden Sie weitere Informationen zum Erstellen eines Schlüssels in einem Schlüsseltresor:

• Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mithilfe der Azure CLI
• Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mithilfe von Azure PowerShell
• Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mithilfe des Azure-Portals

Hier finden Sie weitere Informationen zum Erstellen eines Schlüssels in einem verwalteten HSM:

• Verwalten eines verwalteten HSM mithilfe der Azure CLI

SQL Server Management Studio (SSMS)

Informationen zum Erstellen eines Spaltenhauptschlüssels in einem Schlüsseltresor oder einem verwalteten HSM im Azure Key Vault mithilfe von SSMS finden Sie unter Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio. Ein ausführliches Tutorial, das SSMS verwendet und Always Encrypted-Schlüssel in einem Schlüsseltresor speichert, finden Sie unter Tutorial zum Always Encrypted-Assistenten (Azure Key Vault).

Verfügbarmachen von Azure Key Vault-Schlüsseln für Anwendungen und Benutzer

Für den Zugriff auf eine verschlüsselte Spalte muss Ihre Anwendung auf den Azure Key Vault zugreifen können. Außerdem benötigt sie bestimmte Berechtigungen für den Spaltenhauptschlüssel, um den Spaltenverschlüsselungsschlüssel zu entschlüsseln, der die Spalte schützt.

Sie benötigen die Berechtigungen zum Auflisten und Erstellen von Spaltenhauptschlüsseln im Azure Key Vault, um Schlüssel für Always Encrypted zu verwalten und Kryptografievorgänge mit diesen Schlüsseln durchzuführen.

Schlüsseltresore

Wenn Sie Ihre Spaltenhauptschlüssel in einem Schlüsseltresor speichern und Rollenberechtigungen für die Autorisierung verwenden:

• Die Identität Ihrer Anwendung muss Mitglied bei den Rollen sein, die die folgenden Datenebenenaktionen im Schlüsseltresor zulassen:

  • Microsoft.KeyVault/vaults/keys/decrypt/action
  • Microsoft.KeyVault/vaults/keys/read
  • Microsoft.KeyVault/vaults/keys/verify/action

  Die einfachste Möglichkeit, der Anwendung die erforderliche Berechtigung zu erteilen, besteht im Hinzufügen ihrer Identität zur Rolle Kryptografiebenutzer für Schlüsseltresore. Sie können auch eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen erstellen.

• Ein Benutzer, der Schlüssel für Always Encrypted verwaltet, muss ein Mitglied bei den Rollen sein, die die folgenden Datenebenenaktionen im Schlüsseltresor zulassen:

  • Microsoft.KeyVault/vaults/keys/create/action
  • Microsoft.KeyVault/vaults/keys/decrypt/action
  • Microsoft.KeyVault/vaults/keys/encrypt/action
  • Microsoft.KeyVault/vaults/keys/read
  • Microsoft.KeyVault/vaults/keys/sign/action
  • Microsoft.KeyVault/vaults/keys/verify/action

  Die einfachste Möglichkeit, dem Benutzer die erforderliche Berechtigung zu erteilen, besteht im Hinzufügen des Benutzers zur Rolle Kryptografiebenutzer für Schlüsseltresore. Sie können auch eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen erstellen.

Wenn Sie Ihre Spaltenhauptschlüssel in einem Schlüsseltresor speichern und Zugriffsrichtlinien für die Autorisierung verwenden:

• Die Identität Ihrer Anwendung benötigt die folgenden Zugriffsrichtlinienberechtigungen für den Schlüsseltresor: get, unwrapKey und verify.
• Ein Benutzer, der Schlüssel für Always Encrypted verwaltet, benötigt die folgenden Zugriffsrichtlinienberechtigungen für den Schlüsseltresor: create, get, list, sign, unwrapKey, wrapKey und verify.

Allgemeine Informationen zum Konfigurieren der Authentifizierung und Autorisierung für Schlüsseltresore finden Sie unter Autorisieren eines Sicherheitsprinzipals für den Zugriff auf Key Vault.

Verwaltete HSMs

Die Identität Ihrer Anwendung muss Mitglied bei den Rollen sein, die die folgenden Datenebenenaktionen in Ihrem verwalteten HSM zulassen:

• Microsoft.KeyVault/managedHsm/keys/decrypt/action
• Microsoft.KeyVault/managedHsm/keys/read/action
• Microsoft.KeyVault/managedHsm/keys/verify/action

Microsoft empfiehlt, eine benutzerdefinierte Rolle zu erstellen, die nur die oben genannten Berechtigungen enthält.

Ein Benutzer, der Schlüssel für Always Encrypted verwaltet, muss ein Mitglied bei den Rollen sein, die die folgenden Datenebenenaktionen für den Schlüssel zulassen:

• Microsoft.KeyVault/managedHsm/keys/create/action
• Microsoft.KeyVault/managedHsm/keys/decrypt/action
• Microsoft.KeyVault/managedHsm/keys/encrypt/action
• Microsoft.KeyVault/managedHsm/keys/read
• icrosoft.KeyVault/managedHsm/keys/sign/action
• Microsoft.KeyVault/managedHsm/keys/verify/action

Die einfachste Möglichkeit, dem Benutzer die oben genannten Berechtigungen zu erteilen, besteht darin, ihn zur Rolle „Kryptografiebenutzer für verwaltete HSMs“ hinzuzufügen. Sie können auch eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen erstellen.

Hier finden Sie weitere Informationen zur Zugriffssteuerung für verwaltet HSMs:

• Zugriffssteuerung für verwaltetes HSM
• Integrierte Rollen der lokalen RBAC für verwaltete HSMs

Erstellen von Spaltenhauptschlüsseln in Hardwaresicherheitsmodulen mithilfe von CNG

Ein Spaltenhauptschlüssel für Always Encrypted kann in einem Schlüsselspeicher gespeichert werden, der die CNG-API (Cryptography Next Generation) implementiert. Bei dieser Art Speicher handelt sich in der Regel um ein Hardwaresicherheitsmodul (HSM). Ein HSM ist ein physisches Gerät, das digitale Schlüssel schützt und verwaltet und die kryptografische Verarbeitung bereitstellt. Hardwaresicherheitsmodule werden üblicherweise als Plug-In-Karte oder externes Gerät bereitgestellt, die bzw. das direkt an einen Computer (lokales HSM) oder einen Netzwerkserver angeschlossen wird.

Um ein HSM für Anwendungen auf einem bestimmten Computer verfügbar zu machen, muss ein Schlüsselspeicheranbieter (Key Storage Provider, KSP), der CNG implementiert, auf dem Computer installiert und konfiguriert werden. Ein Always Encrypted-Clienttreiber (ein Speicheranbieter für einen Spaltenhauptschlüssel innerhalb des Treibers) verwendet den KSP, um Spaltenverschlüsselungsschlüssel zu ver- und entschlüsseln, die mit dem im Schlüsselspeicher gespeicherten Spaltenhauptschlüssel geschützt sind.

Windows enthält den Softwareschlüsselspeicher-Anbieter von Microsoft: einen softwarebasierten KSP, den Sie zu Testzwecken verwenden können. Weitere Informationen finden Sie unter CNG Key Storage Providers(CNG-Schlüsselspeicheranbieter).

Erstellen von Spaltenhauptschlüsseln in einem Schlüsselspeicher mithilfe von CNG/KSP

Ein Spaltenhauptschlüssel sollte ein asymmetrischer Schlüssel sein (ein öffentliches/privates Schlüsselpaar), das den RSA-Algorithmus verwendet. Die empfohlene Schlüssellänge beträgt 2048 Bits oder mehr.

Verwenden von HSM-spezifischen Tools

Lesen Sie die Dokumentation für Ihr HSM.

PowerShell

Sie können .NET-APIs verwenden, um mithilfe von CNG in PowerShell einen Schlüssel in einem Schlüsselspeicher zu erstellen.

$cngProviderName = "Microsoft Software Key Storage Provider" # If you have an HSM, you can use a KSP for your HSM instead of a Microsoft KSP
$cngAlgorithmName = "RSA"
$cngKeySize = 2048 # Recommended key size for Always Encrypted column master keys
$cngKeyName = "AlwaysEncryptedKey" # Name identifying your new key in the KSP
$cngProvider = New-Object System.Security.Cryptography.CngProvider($cngProviderName)
$cngKeyParams = New-Object System.Security.Cryptography.CngKeyCreationParameters
$cngKeyParams.provider = $cngProvider
$cngKeyParams.KeyCreationOptions = [System.Security.Cryptography.CngKeyCreationOptions]::OverwriteExistingKey
$keySizeProperty = New-Object System.Security.Cryptography.CngProperty("Length", [System.BitConverter]::GetBytes($cngKeySize), [System.Security.Cryptography.CngPropertyOptions]::None);
$cngKeyParams.Parameters.Add($keySizeProperty)
$cngAlgorithm = New-Object System.Security.Cryptography.CngAlgorithm($cngAlgorithmName)
$cngKey = [System.Security.Cryptography.CngKey]::Create($cngAlgorithm, $cngKeyName, $cngKeyParams)

Verwendung von SQL Server Management Studio

Siehe Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio.

Verfügbarmachen von CNG-Schlüsseln für Anwendungen und Benutzer

Informieren Sie sich in Ihrer HSM- und KSP-Dokumentation, wie Sie den KSP auf einem Computer konfigurieren und Anwendungen und Benutzern Zugriff auf das HSM gewähren.

Erstellen von Spaltenhauptschlüsseln in Hardwaresicherheitsmodulen mithilfe der CAPI

Ein Spaltenhauptschlüssel für Always Encrypted kann in einem Schlüsselspeicher gespeichert werden, der die Kryptografie-API (Cryptography API, CAPI) implementiert. Üblicherweise handelt es sich bei einem solchen Speicher um ein Hardwaresicherheitsmodul (HSM) – ein physisches Gerät, das digitale Schlüssel schützt und verwaltet und die kryptografische Verarbeitung bereitstellt. Hardwaresicherheitsmodule werden üblicherweise als Plug-In-Karte oder externes Gerät bereitgestellt, die bzw. das direkt an einen Computer (lokales HSM) oder einen Netzwerkserver angeschlossen wird.

Um ein HSM für Anwendungen auf einem bestimmten Computer verfügbar zu machen, muss ein Kryptografiedienstanbieter (Cryptography Service Provider, CSP), der die CAPI implementiert, auf dem Computer installiert und konfiguriert werden. Ein Always Encrypted-Clienttreiber (ein Speicheranbieter für einen Spaltenhauptschlüssel innerhalb des Treibers) verwendet den CSP, um Spaltenverschlüsselungsschlüssel zu ver- und entschlüsseln, die mit dem im Schlüsselspeicher gespeicherten Spaltenhauptschlüssel geschützt sind.

Hinweis

CAPI ist eine veraltete API. Wenn für Ihr HSM ein KSP verfügbar ist, sollten Sie diesen statt des CSP bzw. der CAPI verwenden.

Ein CSP muss den RSA-Algorithmus unterstützen, um mit Always Encrypted verwendet werden zu können.

Windows enthält die folgenden softwarebasierten (nicht durch ein HSM gesicherten) CSPs, die RSA unterstützen und zu Testzwecken verwendet werden können: Microsoft Enhanced RSA und AES Cryptographic Provider.

Erstellen von Spaltenhauptschlüsseln in einem Schlüsselspeicher mithilfe von CAPI/CSP

Ein Spaltenhauptschlüssel sollte ein asymmetrischer Schlüssel sein (ein öffentliches/privates Schlüsselpaar), das den RSA-Algorithmus verwendet. Die empfohlene Schlüssellänge beträgt 2048 Bits oder mehr.

Verwenden von HSM-spezifischen Tools

Lesen Sie die Dokumentation für Ihr HSM.

Verwenden von SQL Server Management Studio (SSMS)

Siehe Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio.

Verfügbarmachen von CNG-Schlüsseln für Anwendungen und Benutzer

Informieren Sie sich in der Dokumentation zu Ihrem HSM und CSP, wie Sie den CSP auf einem Computer konfigurieren und Anwendungen und Benutzern Zugriff auf das HSM gewähren.

Nächste Schritte

• Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio
• Bereitstellen von Always Encrypted-Schlüsseln mithilfe von PowerShell

Weitere Informationen

• Always Encrypted
• Übersicht über die Schlüsselverwaltung für Always Encrypted