アップロードキー

お知らせ：当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要

Bring Your Own キー（BYOK）は、ZohoのKEKの代わりにご自身の暗号化キー（KEK）を使用できる機能です。選択した外部キー管理サービス（EKM）からキーを追加するか、暗号化済みのキーを手動でアップロードできます。

キーのアップロードを選択した場合、手順は以下のとおりです。

当社の標準的な運用に従い、データは当社で管理されるDEKで暗号化され、KMSに保存されます。DEKはさらに当社のKEKで暗号化され、別のサーバーに保存されます。
KEKをアップロードするために、当社が提供する証明書から公開キーを抽出し、その公開キーを使用してご自身のキーを暗号化およびハッシュ化していただく必要があります。
暗号化済みKEKおよびハッシュ化されたKEKをZoho Directoryにアップロードします。
当社のKEKを用いてDEKを復号し、プレーンなDEKを取得します。
このプレーンなDEKは、ご提供いただいたKEKで暗号化されます。

キーのアップロード:

1. BYOK証明書の追加:

Zoho Directory にサインインしますZoho Directory 。
クリックAdmin Panel、次にクリックSecurity。
クリックBYOK、次に画面右上の管理 certificatesをクリックします。
クリック追加する certificatesをクリックし、証明書の一意な名前を入力して、追加するをクリックします。追加した証明書にカーソルを合わせ、ダウンロードするアイコンをクリックします。

メモ：追加できる証明書は最大2件までです。

2. 暗号化されたKEKを生成する:

前提条件:

'bcprov-jdk18on' jar のバージョンが1.78.1以上、または同等であること

次のJavaコードスニペットを利用して、ダウンロードした証明書ファイルから公開鍵を抽出し、キーを暗号化します。

完了したコードスニペットを表示するにはこちらをクリックしてください

/**
* @param fileName
* - ダウンロードしたファイル名
* @param plainKeyBytes
* - 作成済みキーのバイト配列
* @返品する - 暗号化されたキー
* @throws Exception
*/
	公開する static String encryptKeyWithPublicKey(String fileName, byte[] plainKeyBytes) throws Exception {

		PemReader reader = 新規 PemReader(新規 FileReader(新規 File(fileName)));
		PemObject pemObject = reader。readPemObject();
		byte[] content = pemObject。getContent();
		reader。閉じる();
		InputStream fin = 新規 ByteArrayInputStream(content);
		CertificateFactory f = CertificateFactory。getInstance('X。509');
		X509Certificate certificate = (X509Certificate) f。generateCertificate(fin);
		PublicKey pk = certificate。getPublicKey();
		byte[] publicKeyBytes = pk。getEncoded();
		X509EncodedKeySpec keySpec = 新規 X509EncodedKeySpec(publicKeyBytes);
		KeyFactory keyFactory = KeyFactory。getInstance('RSA');
		PublicKey publicKey = keyFactory。generatePublic(keySpec);
		Cipher encryptCipher = Cipher。getInstance('RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING');
		OAEPParameterSpec oaepParams = 新規 OAEPParameterSpec('SHA-256', 'MGF1', 新規 MGF1ParameterSpec('SHA-256'), PSource。PSpecified。初期設定);
		encryptCipher。init(Cipher。ENCRYPT_MODE, publicKey, oaepParams);
		byte[] encryptedBytes = encryptCipher。doFinal(plainKeyBytes);
		返品する Base64。getEncoder().encodeToString(encryptedBytes);
3. hashed KEK を生成するには:
AESキーのハッシュ値を生成  以下のコードスニペットを使用します:
公開する staticString getHashValue(byte[] plainKeyBytes)throwsNoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance('SHA-256');
byte[] hashed = digest。digest(plainKeyBytes);
返品するBase64.getEncoder().encodeToString(hashed);
}
 
4. キーをアップロードするには:

 
  Zoho Directory にサインインしますZoho Directory 。
 
  「Admin Panel」をクリックし、次に「Security」をクリックします。

 
  
  
   「BYOK」をクリックし、次に「設定」をクリックします。
   

  
  
   

  
  
   

   

  
  
   メモ：「+ 追加する キー」は、すでにキーが追加されている場合、右側に表示されるボタンをクリックしてください。
  
  
   

   

  
  

 
  「追加する キー」画面で、キー 名前を入力し、アプリケーションを選択し、キー 種類としてアップロードする キーを選択します。


 

 
  
   
    
   
   
    メモ: すべて 利用可能 apps を選択した場合、キー 名前は編集できません。1つのアプリに対して申請できるキーは1つのみとなり、すでに割り当てられているアプリは利用可能アプリケーション一覧に表示されません。
   
 
 

 
  「キー 詳細」で、すでに作成済みのEncrypted KEKおよびHashed KEKの中から、いずれかの利用可能な証明書を選択します。


 
 
  

  

 
 
  メモ: +アイコンを利用可能certificatesの横でクリックすることで証明書を追加できます。また、上記のJavaコードスニペットを使用して、暗号化されたKEKおよびハッシュ化されたKEKを生成してください。
 
 
  


  

 
 

 
  hashed KEKを.txtファイルとして参照し、アップロードします。
 
  encrypted KEKを.txtファイルとして参照し、アップロードします。
 
  「追加する」をクリックします。