組織内の各アプリケーションに個別にキーを設定することも、2つ以上のアプリケーションをグループ化することも、組織内のすべてのアプリケーションに単一のキーを設定することもできます。
1. BYOK証明書の追加。
Zoho One にサインインし、右上にある
アイコンをクリックします。
[セキュリティ]をクリックします。
[BYOK]をクリックし、右上にある[証明書の管理]をクリックします。
[証明書の追加]をクリックし、証明書に一意の名前を入力して、[追加]をクリックします。 追加した証明書にカーソルを合わせて、ダウンロードアイコンをクリックします。
2. 暗号化されたKEKの生成。
前提条件。
バージョン1.78.1以上の'bcprov-jdk18on' jar
ダウンロードした証明書ファイルから公開鍵を抽出し、キーを暗号化するには、次のJavaコードスニペットを使用します。
/**
* @param fileName
* - Downloaded FileName
* @param plainKeyBytes
* - Generated Key Bytes
* @return - Encrypted Key
* @throws Exception
*/
public static String encryptKeyWithPublicKey(String fileName, byte[] plainKeyBytes) throws Exception {
PemReader reader = new PemReader(new FileReader(new File(fileName)));
PemObject pemObject = reader.readPemObject();
byte[] content = pemObject.getContent();
reader.close();
InputStream fin = new ByteArrayInputStream(content);
CertificateFactory f = CertificateFactory.getInstance('X.509');
X509Certificate certificate = (X509Certificate) f.generateCertificate(fin);
PublicKey pk = certificate.getPublicKey();
byte[] publicKeyBytes = pk.getEncoded();
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKeyBytes);
KeyFactory keyFactory = KeyFactory.getInstance('RSA');
PublicKey publicKey = keyFactory.generatePublic(keySpec);
Cipher encryptCipher = Cipher.getInstance('RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING');
OAEPParameterSpec oaepParams = new OAEPParameterSpec('SHA-256', 'MGF1', new MGF1ParameterSpec('SHA-256'), PSource.PSpecified.DEFAULT);
encryptCipher.init(Cipher.ENCRYPT_MODE, publicKey, oaepParams);
byte[] encryptedBytes = encryptCipher.doFinal(plainKeyBytes);
return Base64.getEncoder().encodeToString(encryptedBytes);
}
3. ハッシュ化されたKEKの生成。
以下のコードスニペットを使用して、AESキーのハッシュ値を生成します。
public staticString getHashValue(byte[] plainKeyBytes) throwsNoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance('SHA-256');
byte[] hashed = digest.digest(plainKeyBytes);
returnBase64.getEncoder().encodeToString(hashed);
}
4. キーのアップロード。
Zoho One にサインインし、左側のメニューで[ディレクトリ]をクリックします。
[管理パネル]をクリックし、[セキュリティ]をクリックします。
[BYOK]をクリックし、[設定]をクリックします。
[キーの追加]画面で、[キー名]を入力し、アプリを選択し、必要に応じて可用性キーを有効にすると、設定済みのキーが利用できない場合のデータ復旧に使用できます。 また、[キーの種類]として[キーをアップロード]を選択します。
1つのアプリに適用できるキーは1つのみです。すでに割り当てられているアプリは、利用可能なアプリに表示されません。
[キーの詳細]で、利用可能な証明書のうち、すでに暗号化済みKEKとハッシュ化済みKEKを生成済みのものを1つ選択します。
メモ:+アイコン(利用可能な証明書の横)をクリックすると、証明書を追加できます。また、上記のJavaコードスニペットを使用して、暗号化済みKEKとハッシュ化済みKEKを生成できます。
[参照]して、ハッシュ化済みKEKを.txtファイルとしてアップロードします。
[参照]して、暗号化済みKEKを.txtファイルとしてアップロードします。
[追加]をクリックします。
1. BYOK証明書の追加。
Zoho One にサインインし、左側のメニューで[ディレクトリ]をクリックします。
[セキュリティ]をクリックします。
[BYOK]をクリックし、右上の[証明書の管理]をクリックします。
[証明書の追加]をクリックし、証明書に一意の名前を入力して、[追加]をクリックします。 追加した証明書にカーソルを合わせ、ダウンロードアイコンをクリックします。
2. 暗号化済みKEKの生成。
前提条件。
バージョン1.78.1以上の'bcprov-jdk18on' JAR
ダウンロードした証明書ファイルから公開鍵を抽出し、キーを暗号化するには、次のJavaコードスニペットを使用します。
完全なコードスニペットを表示するには、こちらをクリックしてください
/**
* @param fileName
* - Downloaded FileName
* @param plainKeyBytes
* - Generated Key Bytes
* @return - Encrypted Key
* @throws Exception
*/
public static String encryptKeyWithPublicKey(String fileName, byte[] plainKeyBytes) throws Exception {
PemReader reader = new PemReader(new FileReader(new File(fileName)));
PemObject pemObject = reader.readPemObject();
byte[] content = pemObject.getContent();
reader.close();
InputStream fin = new ByteArrayInputStream(content);
CertificateFactory f = CertificateFactory.getInstance('X.509');
X509Certificate certificate = (X509Certificate) f.generateCertificate(fin);
PublicKey pk = certificate.getPublicKey();
byte[] publicKeyBytes = pk.getEncoded();
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKeyBytes);
KeyFactory keyFactory = KeyFactory.getInstance('RSA');
PublicKey publicKey = keyFactory.generatePublic(keySpec);
Cipher encryptCipher = Cipher.getInstance('RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING');
OAEPParameterSpec oaepParams = new OAEPParameterSpec('SHA-256', 'MGF1', new MGF1ParameterSpec('SHA-256'), PSource.PSpecified.DEFAULT);
encryptCipher.init(Cipher.ENCRYPT_MODE, publicKey, oaepParams);
byte[] encryptedBytes = encryptCipher.doFinal(plainKeyBytes);
return Base64.getEncoder().encodeToString(encryptedBytes);
}
3. ハッシュ化されたKEKの生成。
AESキーのハッシュ値を以下のコードスニペットを使用して生成します。
public staticString getHashValue(byte[] plainKeyBytes) throwsNoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance('SHA-256');
byte[] hashed = digest.digest(plainKeyBytes);
returnBase64.getEncoder().encodeToString(hashed);
}
4. キーのアップロード。
Zoho One にサインインし、左側のメニューで[ディレクトリー]をクリックします。
[管理パネル]をクリックし、[セキュリティ]をクリックします。
[BYOK]をクリックし、[設定]をクリックします。
キーをすでに追加済みの場合は、右側の[+キーの追加]をクリックします。
[キーの追加]画面で、[キー名]を入力し、アプリケーションを選択し、必要に応じて可用性キーを有効にします(設定済みのキーを利用できない場合のデータ復旧に使用する場合)。 また、[キーの種類]として[キーのアップロード]を選択します。
1つのアプリに適用できるキーは1つのみです。すでに割り当てられているアプリは[利用可能なアプリケーション]には表示されません。
[キーの詳細]で、すでに暗号化済みKEKとハッシュ化済みKEKを生成している利用可能な証明書のいずれかを選択します。
メモ:+アイコン([利用可能な証明書]の横)をクリックして証明書を追加し、上記のJavaコードスニペットを使用して暗号化済みKEKとハッシュ化済みKEKを生成できます。
ファイルを参照して、ハッシュ化済みKEKを.txtファイルとしてアップロードします。
ファイルを参照して、暗号化済みKEKを.txtファイルとしてアップロードします。
[追加]をクリックします。