Jak Włącz TDE przy użyciu EKM
Szyfrowanie danych przezroczyste (TDE) szyfruje składowania całej bazy danych.TDE szyfruje dane za pomocą klucz zawartości , nazywany kluczem szyfrowanie bazy danych.W tym temacie opisano, jak chronić klucz szyfrowanie bazy danych przy użyciu klucza asymetrycznego, przechowywane w module zarządzania klucza rozszerzonego (EKM).
Klucz szyfrowanie bazy danych można również chronione za pomocą certyfikat, który jest chroniony przez klucz główny bazy danych z baza danych master.Aby uzyskać więcej informacji dotyczących ochrony klucz szyfrowanie bazy danych przy użyciu klucz głównego bazy danych, zobacz Opis przezroczystego szyfrowania danych (TDE).
Podstawowe kroki umożliwiające TDE przy użyciu EKM są:
Zainstaluj dostawca EKM.Procedury dla tego kroku może się różnić w zależności od wymagań dostawca EKM, ale mogą obejmować instalowanie certyfikat od dostawca EKM w lokalnym magazynie certyfikat i DLL EKM kopiowania plików na SQL Server komputera.
Konfigurowanie SQL Server do używania dostawca EKM.
Jeśli moduł EKM korzysta z uwierzytelnianie podstawowego, należy utworzyć poświadczenie i dodać poświadczeń użytkownika.
Tworzenie klucz asymetrycznego, chronione przez dostawca EKM.
Jeśli moduł EKM używa uwierzytelnianie podstawowego, należy utworzyć poświadczenie chroniony przez klucz asymetryczny do użytku przez Aparat baz danych.
Utwórz klucz szyfrowanie symetrycznego bazy danych.
Włącz TDE przy użyciu klucz szyfrowanie bazy danych.
Aby wykonać kroki opisane w tym temacie, należy podłączyć do SQL Server za pomocą okna Edytor kwerend w SQL Server Management Studio.
Aby zainstalować i skonfigurować dostawca usług kryptograficznych
Skopiuj pliki dostarczone przez dostawca EKM do odpowiedniej lokalizacji na SQL Server komputera.W tym przykładzie używamy C:\EKM folder.
Instalowanie certyfikatów na komputerze jako wymagane przez dostawca EKM.
Ostrzeżenie
SQL Server Dostawca EKM nie dostarcza.Każdy dostawca EKM mogą mieć różne procedury instalowania, konfigurowania i autoryzowania użytkowników.Zapoznaj się z dokumentacją dostawca EKM, aby ukończyć ten krok.
Aby skonfigurować program SQL Server do używania dostawca EKM i utworzyć dostawca w programie SQL Server
Włączanie EKM dostawca jest opcja zaawansowana.Po pierwsze należy wykonać następujące instrukcje, aby wyświetlić zaawansowane opcje.
sp_configure 'show advanced options', 1 ; GO RECONFIGURE ; GOWykonać następujące instrukcja do EKM dostawcom:
sp_configure 'EKM provider enabled', 1 ; GO RECONFIGURE ; GOWykonać następujące instrukcja utworzyć dostawca usług kryptograficznych, możemy wybrany do wywołania EKM_Prov, w zależności od dostawca EKM:
CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov FROM FILE = 'C:\EKM_Files\KeyProvFile.dll' ; GOOstrzeżenie
EKM DLL muszą być podpisane cyfrowo.
Tworzenie poświadczenia używane do szyfrowania bazy danych
Do tworzenia klucz szyfrowanie bazy danych i szyfrowanie bazy danych musi być wysoka uprzywilejowanego użytkownika (na przykład administrator systemu).Użytkownik musi mieć możliwość uwierzytelnione przez moduł EKM.Poniższa procedura tworzy poświadczenia, które wykorzystuje tożsamość EKM i dodaje poświadczeń do wysokiej uprzywilejowanego użytkownika.Poniższe procedury założono, że moduł EKM można uwierzytelnić użytkownika o nazwie 'Identity1'.Hasło należy przewidzieć zamiast gwiazdki, które przedstawiono poniżej.Dostawca EKM używa uwierzytelnianie podstawowego, ale kroki w tej sekcji zostaną wtedy pominięte podczas moduł EKM używa uwierzytelnianie inne wymagane są następujące kroki.
Aby utworzyć poświadczenie i dodać je do logowania wysokiej uprzywilejowanego użytkownika
Wykonać następujące instrukcja do tworzenia poświadczeń, używany przez administratorów systemu:
CREATE CREDENTIAL sa_ekm_tde_cred WITH IDENTITY = 'Identity1', SECRET = '*************' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ; GOWykonać następujące instrukcja dodać poświadczeń administrator systemu do wysokiej uprzywilejowanego użytkownika, takich jak logowanie do domena użytkownika w formacie [DOMAIN\login]:
ALTER LOGIN [DOMAIN\login] ADD CREDENTIAL sa_ekm_tde_cred ; GO
Tworzenie klucza asymetrycznego
Tworzenie klucz asymetrycznego, aby chronić dostęp do klucz szyfrowanie bazy danych.Ten klucz jest używany przez SQL Server do dostępu do klucza szyfrowanie bazy danych.
Aby utworzyć klucz szyfrowanie bazy danych
Wykonać następujące instrukcja do utworzenia klucz asymetrycznego, przechowywany wewnątrz dostawca EKM.W tym przykładzie SQL Server określi klucz o nazwie ekm_login_key.Wewnątrz urządzenia EKM klucz będzie miał nazwę SQL_Server_Key.
Ostrzeżenie
Opcje i parametry wymagane przez dostawca EKM mogą się różnić od tej instrukcja.Aby uzyskać więcej informacji Zobacz Dostawca EKM.
USE master ; GO CREATE ASYMMETRIC KEY ekm_login_key FROM PROVIDER [EKM_Prov] WITH ALGORITHM = RSA_512, PROVIDER_KEY_NAME = 'SQL_Server_Key' ; GOOstrzeżenie
W przypadku utraty klucz asymetrycznego, przechowywane w EKM module bazy danych nie będą mogli otwierać SQL Server.Jeśli dostawca EKM pozwala wykonać kopię zapasową klucz asymetrycznego, należy utworzyć tworzyć kopię zapasową zapasowej i przechowywać go w bezpiecznym miejscu.
Tworzenie poświadczenia używane przez aparat bazy danych
Podczas uruchamiania Aparat baz danych , należy otworzyć bazę danych.Poniższa procedura tworzy poświadczeń z uwierzytelniony przez EKM i dodaje się, że do identyfikatora logowania jest oparty klucz asymetrycznego.Użytkownicy nie można się zalogować przy użyciu tego logowania, ale Aparat baz danych będzie mógł zostać uwierzytelniony z urządzeniem EKM.Poniższe procedury założono, że moduł EKM można uwierzytelnić użytkownika o nazwie 'Identity2'.Hasło należy przewidzieć zamiast gwiazdki poniżej.Dostawca EKM używa uwierzytelnianie podstawowego, ale kroki w tej sekcji zostaną wtedy pominięte podczas moduł EKM używa uwierzytelnianie inne wymagane są następujące kroki.
Aby utworzyć poświadczenia i dodać je do logowania
Wykonać następujące instrukcja do tworzenia poświadczeń, który będzie używany przez Aparat baz danych:
CREATE CREDENTIAL ekm_tde_cred WITH IDENTITY = 'Identity2' , SECRET = '*************' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ;Wykonać następujące instrukcja dodać logowania używane przez TDE i dodać nowe poświadczenia logowania:
CREATE LOGIN EKM_Login FROM ASYMMETRIC KEY ekm_login_key ; GO ALTER LOGIN EKM_Login ADD CREDENTIAL ekm_tde_cred ; GO
Utwórz klucz szyfrowania bazy danych
Klucz szyfrowanie bazy danych jest klucz zawartości.Utwórz klucz szyfrowanie bazy danych w baza danych master.
Aby utworzyć klucz szyfrowanie bazy danych
Zmień bazę danych, które będą szyfrowane:
USE AdventureWorks2008R2 ; GOWykonać następujący kod w celu utworzenia klucz szyfrowanie bazy danych używanej do TDE:
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER ASYMMETRIC KEY ekm_login_key ; GOWykonać następujący kod w celu zmiany bazy danych, aby włączyć szyfrowanie danych przezroczyste:
ALTER DATABASE AdventureWorks2008R2 SET ENCRYPTION ON ; GOBaza danych znajduje się teraz w postaci zaszyfrowanej.
Zabezpieczenia
W tym temacie używa następujących uprawnień:
Zmienianie opcji konfiguracja i uruchomić ponownej konfiguracja instrukcja, musi dysponować uprawnieniami poziom serwera zmieniać ustawienia.ZMIENIA ustawienia uprawnień jest niejawnie posiadaniu sysadmin i serveradmin stałe role serwera.
Wymaga uprawnienia zmienić dowolny POŚWIADCZEŃ.
Wymaga logowania dowolnego zmieniać uprawnienia.
Wymaga uprawnienia do tworzenia klucza asymetrycznego.
Wymaga uprawnienie Kontrola do bazy danych, aby zaszyfrować bazę danych.