那些遇到过的问题

如何在 Always Encrypted 功能中续订或扩展 CMK 证书?

Sri*_*Sri 4 sql-server sql-server-2016 always-encrypted

我已经在 SQL Server 2016 中实现了 Always Encrypted 功能。 CMK 的有效期为一年。如何更新或延长有效期?

Nik*_*oft 6

始终加密不会明确检查 CMK 证书的有效性。Always Encrypted 将 CMK 证书纯粹视为 (PK, SK) 对。这样您就可以使用过期的证书而不会遇到任何问题。但是,最佳实践是定期轮换 CMK。Always Encrypted 提供了一种轮换 CMK 的机制,而不会导致任何应用程序停机。详情请阅读以下官方文章。
第 1
条 第 2 条

如何在没有 powershell 的情况下进行 CMK 轮换:

  1. 供应新的 CMK (CMK2)(创建新证书或创建新的 AKV 密钥)
  2. 使用SqlColumnEncryptionStoreProvider .DecryptColumnEncryptionKey(String,?String,?Byte[]) 方法的适当实例来解密当前加密的 CEK (CEK1) 值 (CekVal1)
  3. 使用SqlColumnEncryptionStoreProvider .EncryptColumnEncryptionKey(String,?String,?Byte[]) 方法的适当实例使用新 CMK (CMK2) 加密 cek 以获得新的加密 CEK 值 (CekVal2)。
  4. 使用Create Column Master Key T-SQL指定新的 CMK (CMK2)
  5. 使用Alter Column 加密密钥 T-SQL将 CekVal2 添加到您当前的 CEK (CEK1)
  6. 此时,您的客户端将能够使用 CMK1 和 CMK2 解密 CEK1。
  7. 在您将 CMK2 成功分发给所有需要它的客户端后,使用Alter Column 加密密钥 T-SQL从您当前的 CEK (CEK1) 中删除 CekVal1
  8. 此后,您的客户端将无法再使用 CMK1 解密 CEK1

归档时间:

查看次数:

2889 次

最近记录:

7 年,11 月 前
相关归档
与 2008 R2 相比,更喜欢 SQL Server 2012 的客观商业原因是什么? 50
'SELECT TOP' 性能问题 18
在使用少量数据进行分区时获得现实的查询计划 9
Service Broker:在有毒消息后丢弃队列监视器 7
备份中缺少 CDC 系统表 6
在将数据暂存到生产中时,是否有非 DDL 方法来保留反向引用? 5
XP_API 弃用公告是否意味着未来将不支持 sp_executesql? 5
多行的 where 子句,GROUP BY 5
SQL Server“int”数据类型是否会在输入时可靠地截断(而不是舍入)十进制值? 4
使用游标如果存在则更新,如果不存在则插入 2
难疑归档
如何安全地更改 MySQL innodb 变量“innodb_log_file_size”? 113
mysql:显示所有用户的 GRANTs 107
如何使用 SELECT INTO 复制表但忽略 IDENTITY 属性? 45
数据库中的删除应该如何处理? 45
如何为一列选择不同的列和另一列中的任何列? 40
选择列在多个记录中包含相同数据的行 36
pg_restore: [archiver (db)] 无法执行查询:错误:架构“public”已经存在 33
PostgreSQL 更改特定模式下所有表的所有者 32
SQL Server 与新 TLS 标准的兼容性 30
替换 Postgres 中的物化视图 29