关于客户主键

作为我们对端到端安全承诺的一部分,Webex代表每个组织拥有一个主要密钥。我们将其称为主密钥,因为它不直接加密内容,而是用于加密您的组织中加密内容的其他密钥。密钥层级的基本级别称为内容密钥(CK),密钥的中级级别称为密钥加密密钥(KEK)。

我们认识到,有些组织更喜欢管理自己的安全,因此您可以选择管理自己的客户主密钥(CMK)。这意味着您负责创建和旋转(重新加密)Webex用于加密内容加密密钥的主密钥。

在未来,除非另有说明,否则密钥指的是CMK。

使用方式

  1. Webex将您的CMK保存在硬件安全模块(HSM)中,使Webex服务无法访问CMK值。

  2. Control Hub会显示您当前处于活动状态或已撤销的CMK以及存储在HSM中的任何待定CMK。当您需要旋转(重新加密)CMK时,您将生成新的CMK并使用HSM的公钥对其进行加密,以便只有HSM才能对其进行解密和存储。

  3. 然后在Control Hub中上传并激活新的CMK。Webex立即开始使用新的CMK加密内容密钥。Webex保留旧的CMK,但直到确定您的内容加密密钥由新CMK保护为止。

我们不会追溯性地重新加密所有现有内容。激活您的CMK后,所有新内容(空间和会议)都将重新加密并受到保护。
关于AWS KMS密钥

我们认识到,有些组织更愿意在Webex之外管理自己的密钥。因此,我们为您提供在Amazon Web Services (AWS)密钥管理服务(KMS)中管理自己的CMK。这意味着您有责任在AWS KMS中管理您的密钥。您授权Webex通过AWS控制台使用AWS KMS密钥加密和解密。您向Webex提供AWS KMS密钥ID而不是您的CMK。这意味着您负责创建和旋转(重新加密)Webex用于在云中加密内容加密密钥的AWS KMS密钥。

使用方式

  1. 您使用AWS创建密钥。AWS KMS用于管理您的密钥,并将其存储在硬件安全模块(HSM)中。

  2. 您向Webex提供通过AWS控制台使用AWS KMS密钥的访问权限。

    这意味着您不将CMK上传到Control Hub,而是为Webex提供AWS KMS密钥的访问权限。AWS KMS密钥不会离开您的AWS KMS,Webex服务无法访问AWS KMS密钥材料。

    Control Hub会显示您当前处于活动状态或已撤销的AWS KMS密钥,以及存储在AWS KMS中的任何待决AWS KMS密钥。如果您需要旋转AWS KMS密钥,请使用AWS KMS控制台生成新的AWS KMS密钥。

  3. 然后在Control Hub中添加和激活新的AWS KMS密钥,为其提供新的AWS KMS密钥的Amazon Resource Name (ARN)。Webex立即开始使用新的AWS KMS密钥加密您的内容密钥。Webex不再需要旧的AWS KMS密钥。在您的内容加密密钥被新的AWS KMS密钥旋转并保护后,旧的AWS KMS密钥将从Control Hub中消失。Webex不会从AWS KMS中删除AWS KMS密钥。您的客户管理员可以从AWS KMS中删除该密钥。

关键状态和生命周期

关键生命周期

关键状态定义

待解决

此状态中的密钥存储在HSM中,但尚未用于加密。Webex不使用此CMK进行加密。

在此状态中只能有一个密钥。
活动

Webex目前正在使用此CMK加密您的组织的其他密钥。

在此状态中只能有一个密钥。
旋转

Webex正在临时使用此CMK。Webex需要它解密之前由此密钥加密的数据和密钥。当旋转(重新加密)完成时,此密钥将退役。

如果新密钥在旋转完成前已激活,则多个密钥可处于此状态。
已停用

Webex不使用此CMK。此密钥不再用于加密。设置关键实时时间,然后从HSM中删除此密钥。

已撤销

Webex不使用此CMK。即使有使用此密钥加密的数据和密钥,Webex也无法使用它来解密数据和密钥。

  • 如果您怀疑活动密钥已被泄露,您只需要撤销该活动密钥。这是一个严肃的决定,因为它阻止了许多操作的正确行为。例如,您将无法创建新空间,也无法解密Webex客户端中的任何内容。
  • 在此状态中只能有一个密钥。您必须重新激活此密钥以旋转(重新加密)新密钥。
  • 此CMK可以删除,但您不必将其删除。解决可疑的安全漏洞后,您可能需要保留此文件,以进行解密/重新加密。
已删除

Webex不使用此CMK。此状态中的行为与Revoked状态相同,但设置了关键实时时间,然后从HSM中删除此密钥。

  • 如果已删除的CMK进展到“已删除”状态,您必须恢复原始密钥以恢复组织功能。
  • 我们建议您保留原始密钥的备份,否则您的组织将不再正常运行。
已删除

这是一个逻辑状态。Webex没有将此CMK存储在HSM中。它不会在Control Hub中显示。

要求

所有权

通过取得您的CMK的所有权,您必须:

  • 负责安全创建和备份密钥
  • 了解丢失钥匙的影响
  • 作为最佳实践,每年至少重新加密您的活动CMK一次

关键创建

您必须使用这些参数创建自己的CMK。您的密钥必须:

  • 256位(32字节)长
  • 使用RSA-OAEP方案加密
  • 使用Webex云HSM公钥加密

您的密钥生成软件必须能够:

  • SHA-256哈希函数
  • MGF1掩码生成功能
  • PKCS#1 OAEP填充

请参阅示例:在本文的“资源”选项卡中,使用OpenSSL 创建和加密密钥。

授权

您必须在Control Hub中访问您的Webex组织。您必须是完全管理员 才能管理您的CMK。

创建并激活您的客户主键
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

要启用BYOK,请打开Bring Your Own Key (BYOK) 。如果您禁用BYOK,Webex通用缺省密钥 将成为您的组织的主密钥。

3

选择上传自定义密钥 ,然后单击下一步

4

单击下载公钥

将Webex HSM公钥保存在本地系统上的。pem文件中。

5

使用密钥管理软件创建加密安全的256位(32字节)随机密钥。

6

使用Webex HSM公钥加密您的新密钥。

所需的加密参数为:

  • RSA-OAEP方案
  • SHA-256哈希函数
  • MGF1掩码生成功能
  • PKCS#1 OAEP填充
请参阅示例:在本文的“资源”选项卡中,使用OpenSSL 创建和加密密钥。
7

将加密密钥从文件系统拖放到Control Hub接口的上传区域中,或单击选择文件

8

单击下一步

Webex将您的密钥上传到HSM,在那里进行解密和验证。然后,Control Hub会向您显示新CMK的ID和当前活动的CMK的ID(如果有)。

如果这是您的第一个CMK,则当前处于活动状态的密钥是 Webex通用默认密钥 (我们目前用于加密组织密钥的密钥)。

9

选择要激活密钥的方式:

  • 激活新键:新CMK立即进入活动状态。以前活动的CMK进入旋转(重新加密状态),直到您的所有内容都受到新CMK的保护,之后Webex将删除以前活动的CMK。
  • 稍后激活:新的CMK移动到“待定”状态。Webex将此CMK保留在HSM中,但尚未使用它。Webex继续使用当前活动的CMK加密您组织的密钥。

下一步

我们不会追溯性地重新加密所有现有内容。激活您的CMK后,所有新内容(空间和会议)都将重新加密并受到保护。
旋转您的密钥
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

转至活动的CMK。

4

单击更多菜单 并选择旋转

5

创建并加密新密钥(如果您尚未这样做)。

此流程将在本文的创建并激活您的客户主要密钥 中描述。
6

将新密钥从文件系统拖放到Control Hub中。

7

单击激活新键

您上传的新密钥将进入活动状态。

旧的CMK将保持旋转(重新加密状态),直到Webex使用新的Active CMK完成对所有内容加密。重新加密后,密钥将移至“已退休”状态。然后Webex删除旧的CMK。

撤销您的密钥
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

转至活动键。

4

单击更多菜单 并选择撤销

5

确认密钥撤销。

最多需要10分钟才能完全撤销您的密钥。
重新激活已撤销的密钥
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

转至当前已撤销的密钥。

4

单击更多菜单 并选择激活

5

确认密钥激活。

之前取消的密钥进入活动状态。
删除已撤销的密钥
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

转至已撤销的密钥。

4

单击更多菜单 并选择删除

5

确认密钥删除。

删除后,您可以在30天内恢复该密钥。
恢复已撤销的密钥
1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

转至已删除的密钥。

4

单击更多菜单 并选择取消删除

5

确认密钥恢复。

恢复后,Control Hub会向您显示删除前已撤销状态中的密钥。例如,如果您删除已撤销的密钥,然后恢复密钥,Control Hub将显示已撤销状态下已恢复的密钥。

要求

所有权

通过AWS KMS密钥的所有权,您必须:

  • 负责安全地创建和备份您的AWS KMS密钥。
  • 了解丢失您的AWS KMS密钥的影响。
  • 作为最佳实践,每年至少重新加密您的活动的AMS KMS密钥。

授权

  • 您必须获得授权才能在AWS KMS中为Webex组织创建和管理您的密钥。
  • 您必须在Control Hub中访问您的Webex组织。您必须是完全管理员 才能管理您的AWS KMS密钥。
创建AWS KMS密钥
1

登录 AWS 并转至AWS KMS控制台。

2

选择客户管理密钥 ,然后单击创建密钥

3

使用以下属性创建密钥:

  • 键类型—选择对称
  • 关键使用—选择加密和解密
  • 标签—输入别名、说明和标签。
  • 关键管理员-选择您组织的关键管理员用户和角色。
  • 密钥删除—检查允许密钥管理员删除此密钥
  • 关键用户-选择您组织的关键用户和角色。
4

单击下一步

5

查看您的设置并单击完成

已创建您的AWS KMS密钥。
6

转至客户管理密钥 并单击别名或密钥ID以查看ARN。

下一步

我们建议您保留一份ARN的临时副本。此ARN用于在CONTROL HUB中添加和激活您的AWS KMS密钥。

授权使用AWS KMS密钥的Cisco KMS
1

登录 AWS 并转至AWS CloudShell控制台。

2

运行创建-授予 以授权Webex,如下所示:

aws kms create-grant \ --name {UNIQUE_NAME_for_grant} \ --key-id {uuid_Of_AWS_KMS Key} \ --operations加密解密DescribeKey \ --受赠人-principal {KMS_CISCO_用户_ARN} \ --RETIRING-PRINCIPAL {KMS_CISCO_用户_ARN}
例如:
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx \ --operations加密解密描述密钥\ --受赠人-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
KMS_CISCO_用户_ARN 是特定于您的组织的。在Control Hub中激活新的AWK KMS密钥时,将ARN显示在添加AWS密钥窗口中。
添加并激活您的AWS KMS密钥

开始之前

在Control Hub中激活之前,必须创建AWS KMS密钥。请参阅本文中的创建AWS KMS密钥

您必须为Webex提供AWS KMS密钥的访问权限。请参阅本文中的授权使用AWS KMS密钥的Cisco KMS

1

登录到 Control Hub。

2

转至组织设置 > 密钥管理,然后切换携带自己的密钥(BYOK)

如果您禁用BYOK,Webex通用缺省密钥 将成为您的组织的主密钥。

3

选择添加AWS KMS密钥 ,然后单击下一步

4

从AWS控制台获取ARN。

5

在Control Hub中输入ARN,然后单击添加

您的密钥ARN将上传到Cisco KMS,其中对密钥的访问已验证。然后,Control Hub将向您显示新的AWS KMS密钥的CISCO KMS密钥ID,以及当前活动的Cisco KMS密钥ID(如果有)。

如果这是您的第一个AWS KMS密钥,则当前处于活动状态的密钥是 Webex通用默认密钥 (我们目前用于加密组织密钥的密钥)。

6

选择要激活密钥的方式:

  • 激活:新的AWS KMS密钥立即进入活动状态。
  • 稍后激活:新的AWS KMS密钥将移动到待处理状态。Webex将此AWS KMS密钥ARN保留在Cisco KMS中,但尚未使用它。Webex继续使用当前活动的AWS KMS密钥加密您组织的密钥。
旋转您的AWS KMS密钥
1

登录 Control Hub,然后转至组织设置 > 密钥管理

2

转至活动的AWS KMS密钥。

3

单击更多菜单 并选择旋转

4

输入新的AWS KMS密钥和新ARN,然后单击添加

此过程将在本文中添加并激活您的AMS KMS密钥 中描述。
5

单击 激活

您上传的新AWS KMS密钥将进入活动状态。

旧的AWS KMS密钥将保持在“旋转”状态,直到Webex使用新的Active AWS KMS密钥完成对所有内容加密。重新加密后,旧的AWS KMS密钥将自动从Control Hub中消失。

旋转以添加另一个AWS KMS密钥(可选)
1

登录 Control Hub,然后转至组织设置 > 密钥管理

2

单击添加其他密钥

3

输入新的AWS KMS密钥,然后单击添加

Control Hub将向您显示新AWS KMS密钥的CISCO KMS密钥ID,以及当前活动的CISCO KMS密钥ID。

此过程将在本文中添加并激活您的AMS KMS密钥 中描述。

4

单击 激活

您上传的新AWS KMS密钥将进入活动状态。

旧的AWS KMS密钥将保持在“旋转”状态,直到Webex使用新的Active AWS KMS密钥完成对所有内容加密。重新加密后,旧的AWS KMS密钥将自动从Control Hub中消失。

撤销您的AWS KMS密钥
1

登录 Control Hub,然后转至组织设置 > 密钥管理

2

转至当前活动的AWS KMS密钥。

3

单击更多菜单 并选择本地撤销

4

确认密钥撤销。

最多需要10分钟才能完全撤销您的密钥。AWS KMS密钥进入本地撤销状态。

如果您的客户管理员从AWS KMS控制台废止了密钥,则AWS KMS密钥将显示在Control Hub中的Amazon废止状态中。

删除您的AWS KMS密钥
1

登录 Control Hub,然后转至组织设置 > 密钥管理

2

转至已撤销的AWS KMS密钥。

3

单击更多菜单 并选择删除

4

确认密钥删除。

删除后,您可以在30天内恢复该密钥。

我们建议您先从Control Hub中删除AWS KMS密钥,然后再从AWS控制台中删除CMK。如果您在Control Hub中删除AWS KMS密钥之前从AWS控制台中删除CMK,则可能会遇到问题。

在AWS控制台中删除CMK之前,确保AWS KMS密钥不再在Control Hub中可见。

恢复您的AWS KMS密钥
1

登录 Control Hub,然后转至组织设置 > 密钥管理

2

转至已删除的AWS KMS密钥。

3

单击更多菜单 并选择取消删除

4

确认密钥恢复。

恢复后,Control Hub会向您显示取消状态中的密钥。

故障排除AWS KMS密钥

如果AWS KMS密钥遇到问题,请使用以下信息进行故障排除。

  • AWS KMS密钥ARN。例如,arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  • 在AWS KMS密钥上赠款

  • AWS KMS密钥状态。例如,已禁用AWS KMS密钥。

例如:使用OpenSSL创建和加密密钥

本示例使用OpenSSL命令行工具3.0版。有关这些工具的详细信息,请参阅 OpenSSL

1

登录到 Control Hub。

2

转至组织设置 > 密钥管理

3

单击下载公钥

您在本地系统上的。pem文件中获得Webex HSM公钥。

4

创建256位(32字节)密钥:openssl rand -outmain_key。bin 32

此示例使用未加密的新密钥的文件名 main_key。bin

或者,您可以使用Hex转储、Python或在线生成器生成32字节的随机值。您还可以创建和管理您的AWS KMS密钥

5

使用Webex HSM公钥加密您的新密钥:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -inmain_key。bin -outmain_key_encrypted。bin -pkeyoptrsa_padding_mode:oaep -pkeyoptrsa_oaep_md:sha

示例使用加密输出密钥的文件名 main_key_encrypted。bin ,以及Webex公钥的文件名 path/to/public.pem

已加密密钥可供您上传至Control Hub。

相关阅读资料