Je suis en train de chiffrer ma base de données SQL azure en utilisant Toujours chiffré avec KeyVault. Ce que je vois dans Keyvault est, CMK est créé dans la section Clés. Est-il possible de construire un certificat à partir de cela? ou où puis-je trouver ce certificat de CMK?Toujours chiffré SQL Azure à l'aide de Keyvault - Exporter le certificat CMK
Dans Azure Key Vault, vous pouvez créer différents types d'objets: clés, secrets et certificats. Toujours chiffré requiert que les clés principales de colonne, stockées dans Azure Key Vault, soient des clés de coffre-fort. SSMS crée une clé de coffre-fort, lorsque vous choisissez de stocker la nouvelle clé principale de colonne dans un coffre-fort de clés. BTW, ce que fait SSMS lors de la création d'une clé équivaut à appeler Add-AzureKeyVaultKey. Cela dit, lorsqu'un certificat Key Vault est créé (par exemple via Add-AzureKeyVaultCertificate), une clé adressable et un secret sont également créés avec le même nom - voir https://docs.microsoft.com/en-us/rest/api/keyvault/about-keys--secrets-and-certificates#key-vault-certificates. Et, vous pouvez utiliser la clé, associée au certificat, comme une clé principale de colonne, si vous le souhaitez. Cependant, je ne suis pas conscient d'un avantage pratique de le faire: un pilote client Always Encrypted (par exemple ADO.NET) ne serait même pas conscient que la clé est associée au certificat.
Il peut être utile de décrire les besoins de votre entreprise et d'expliquer pourquoi vous pensez qu'une clé principale de colonne doit être un certificat. Veuillez garder à l'esprit que même si une clé principale de colonne est un vrai certificat stocké dans le magasin de certificats Windows (pas dans le coffre-fort de clés), les pilotes compatibles Toujours chiffrés utilisent uniquement la clé publique et la clé privée contenues dans le certificat et ils ignorent tout le reste. En particulier, le pilote ne valide jamais la date d'expiration du certificat, la chaîne CA ou si un certificat a été révoqué. Ceci est par définition - les clés principales protègent les données à long terme et cette approche garantit que vous serez toujours en mesure d'accéder aux données, tant que vous avez la clé principale (par exemple si vous créez un fichier de sauvegarde de base de données contenant des données cryptées une base de données de celui-ci plusieurs années plus tard, vous devriez être en mesure d'accéder à vos données).
cela peut être utile. [Premiers pas avec les certificats Azure Key Vault] (https://blogs.technet.microsoft.com/kv/2016/09/26/get-started-with-azure-key-vault-certificates/) –