管理您自己的客戶主金鑰
作為我們對端對端安全性承諾的一部分, Webex代表每個組織持有一個主金鑰。我們將其稱為主金鑰,因為它不直接加密內容,但它用於加密您組織中用於加密內容的其他金鑰。金鑰層級的基本層級稱為內容金鑰 (CK),金鑰的中間層級稱為金鑰加密金鑰 (KEK)。
我們知道有些組織喜歡管理自己的安全性,因此我們向您提供了管理您自己的客戶主金鑰 (CMK) 的選項。這意味著您負責建立和輪用(重新加密)主金鑰, Webex用來加密您的內容加密金鑰。
以後,除非另有說明,否則金鑰將指 CMK。
操作方式
-
Webex將您的 CMK 儲存在硬體安全性模組 (HSM) 中,因此Webex服務無法存取 CMK 值。
-
Control Hub 顯示您目前處於活動狀態或已撤銷的 CMK 以及儲存在 HSM 中的任何待處理的 CMK。當您需要輪用(重新加密)CMK 時,您將產生新的 CMK 並使用 HSM 的公開金鑰對其進行加密,以便只有 HSM 可以解密和儲存它。
-
然後,您可以在 Control Hub 中上傳並啟用新的 CMK。Webex會立即開始使用新的 CMK 來加密您的內容金鑰。Webex會保留舊的 CMK,但僅保留到其確定您的內容加密金鑰已受到新 CMK 的保護為止。
我們知道,有些組織喜歡在Webex之外管理自己的金鑰。這就是為何我們向您提供在 Amazon 網路 Services (AWS) Key Management Service (KMS) 中管理您自己的 CMK 的選項。這意味著您負責管理 AWS KMS 中的金鑰。您授權Webex透過 AWS 主控台使用您的 AWS KMS 金鑰進行加密和解密。您向Webex提供的是您的 AWS KMS 金鑰ID而非 CMK。這意味著,您將負責建立和輪用(重新加密)AWS KMS 金鑰, Webex會使用該金鑰在雲端中加密您的內容加密金鑰。
操作方式
-
您使用 AWS 建立金鑰。AWS KMS 用於管理您的金鑰並將金鑰儲存在硬體安全性模組 (HSM) 中。
-
您向Webex提供透過 AWS 主控台使用 AWS KMS 金鑰的存取權。
這意味著您不會將 CMK 上傳至 Control Hub,而是向Webex提供對 AWS KMS 金鑰的存取權。AWS KMS 密鑰不會離開您的 AWS KMS 和Webex服務無法存取 AWS KMS 密鑰資料。
Control Hub 顯示您目前處於活動狀態或已撤銷的 AWS KMS 密鑰,以及儲存在 AWS KMS 中的任何待處理的 AWS KMS 密鑰。當您需要輪用 AWS KMS 密鑰時,您可以使用 AWS KMS 主控台生成新的 AWS KMS 密鑰。
-
然後,您在 Control Hub 中新增並啟動新的 AWS KMS 金鑰,並向它提供新的 AWS KMS 金鑰的 Amazon 資源名稱 (ARN)。Webex會立即開始使用新的 AWS KMS 金鑰來加密您的內容金鑰。Webex不再需要舊的 AWS KMS 密鑰。在您的內容加密金鑰輪用並由新的 AWS KMS 金鑰保護之後,舊的 AWS KMS 金鑰將從 Control Hub 中消失。Webex不會從 AWS KMS 刪除 AWS KMS 密鑰。您的客戶管理員可以從 AWS KMS 中移除金鑰。
密鑰生命週期
鍵狀態定義
- 擱置
-
處於此狀態的金鑰會儲存在 HSM 中,但尚未用於加密。Webex不使用此 CMK 進行加密。
只有一個鍵可以處於此狀態。 - 作用中
-
Webex目前正在使用此 CMK 為您的組織加密其他金鑰。
只有一個鍵可以處於此狀態。 - 旋轉
-
Webex暫時使用此 CMK。Webex需要它來解密先前由此金鑰加密的資料和金鑰。當完成輪用(重新加密)後,此金鑰將棄用。
如果在輪用完成之前啟動了新鍵,則多個鍵可以處於此狀態。 - 已棄用
-
Webex未使用此 CMK。此金鑰不再用於加密。設定了鍵的生命週期,之後會從 HSM 中移除此鍵。
- 已撤銷
-
Webex未使用此 CMK。即使有已使用此金鑰加密的資料和金鑰, Webex也無法使用它來解密資料和金鑰。
- 僅當您懷疑使用中的金鑰已遭盜用時,才需要撤銷該金鑰。這是一個嚴肅的決定,因為這會妨礙許多操作正常進行。例如,您將無法建立新空間,也無法解密Webex用戶端中的任何內容。
- 只有一個鍵可以處於此狀態。您必須重新啟用此金鑰才能輪用(重新加密)新金鑰。
- 可以刪除此 CMK,但您不必將其刪除。在解決可疑的安全隱患後,您可能需要保留它以用於解密/重新加密。
- 已刪除
-
Webex未使用此 CMK。此狀態下的行為與「撤銷」狀態相同,除了設定了金鑰生存時間,此後會從 HSM 移除此金鑰。
- 如果已刪除的 CMK 進展為已移除狀態,您必須恢復原始金鑰才能還原組織的功能。
- 我們建議您保留原始金鑰的備份,否則您的組織將無法再正常運作。
- 已移除
-
這是邏輯狀態。Webex在 HSM 中未儲存此 CMK。它不會顯示在 Control Hub 中。
所有權
取得 CMK 的所有權後,您必須:
- 負責安全地建立和備份金鑰
- 了解遺失金鑰的影響
- 最佳做法是每年至少重新加密活動 CMK 一次
建立金鑰
您必須使用這些參數建立您自己的 CMK。您的金鑰必須是:
- 256 位元(32 位元)長
- 已使用RSA-OAEP 方案加密
- 已使用Webex雲端 HSM 公鑰加密
您的金鑰產生軟體必須能夠:
- SHA-256 雜湊函式
- MGF1 遮罩產生功能
- PKCS#1 OAEP 填充
請參閱範例:使用 OpenSSL 建立和加密金鑰 在本文的 資源 標籤中。
授權
您必須有權存取 Control Hub 中的Webex組織。您必須是完全管理員 管理您的 CMK。
1 | |
2 |
轉至 。若要啟用 BYOK,請切換自帶金鑰 (BYOK) 開啟。如果您停用 BYOK,則Webex通用預設鍵 成為您組織的主要金鑰。 |
3 |
選取上傳自訂金鑰 並按一下下一個。 |
4 |
按一下下載公鑰。 將Webex HSM 公鑰儲存在您的本地系統上的 .pem 檔案中。 |
5 |
使用您的金鑰管理軟體建立密碼安全的 256 位元(32 位元)隨機金鑰。 |
6 |
使用Webex HSM 公開金鑰來加密新金鑰。 必要的加密參數為:
請參閱範例:使用 OpenSSL 建立和加密金鑰 在本文的 資源 標籤中。
|
7 |
從檔案系統拖曳加密的金鑰,將其放在 Control Hub 介面的上傳區域中,或按一下選擇檔案。 |
8 |
按一下下一步。 Webex將您的金鑰上傳至 HSM,並在其中進行解密和驗證。然後,Control Hub 會顯示新 CMK 的ID以及目前作用中的 CMK 的ID (若有)。 如果這是您的第一個 CMK,則目前作用中的金鑰是Webex通用預設鍵 (我們目前用於加密您組織的金鑰的密鑰)。 |
9 |
選擇您想要如何啟動您的金鑰:
|
下一步
所有權
取得 AWS KMS 金鑰的所有權後,您必須:
- 負責安全地建立和備份您的 AWS KMS 金鑰。
- 了解遺失 AWS KMS 金鑰的影響。
- 最佳做法是每年至少重新加密使用中的 AMS KMS 金鑰一次。
授權
- 您必須有權在 AWS KMS 中為您的Webex組織建立和管理您的金鑰。
- 您必須有權存取 Control Hub 中的Webex組織。您必須是完全管理員 管理您的 AWS KMS 金鑰。
1 |
登入AWS 並轉至 AWS KMS 主控台。 |
2 |
選取客戶管理的金鑰 然後按一下建立金鑰。 |
3 |
使用以下屬性建立金鑰:
|
4 |
按一下下一步。 |
5 |
複查您的設定,然後按一下完成。 已建立您的 AWS KMS 密鑰。
|
6 |
轉至客戶管理的金鑰 並按一下別名或金鑰ID以檢視 ARN。 |
下一步
我們建議您保留 ARN 的臨時副本。此 ARN 用於在 Control Hub 中新增並啟動您的 AWS KMS 密鑰。
1 |
登入AWS 並轉至 AWS CloudShell 主控台。 |
2 |
執行 例如: 的 知識管理系統_思科_USER_ ARN 特定於您的組織。當在 Control Hub 中啟動新的 AWK KMS 金鑰時,ARN 會顯示在新增您的 AWS 金鑰視窗中。 |
開始之前
您必須先建立 AWS KMS 金鑰,然後才能在 Control Hub 中啟用它。請參閱建立 AWS KMS 密鑰 在本文中。
您必須向Webex提供對 AWS KMS 密鑰的存取權。請參閱授權Cisco KMS 存取 AWS KMS 金鑰 在本文中。
1 | |
2 |
轉至自帶金鑰 (BYOK) 開啟。 ,並在如果您停用 BYOK,則Webex通用預設鍵 成為您組織的主要金鑰。 |
3 |
選取新增 AWS KMS 密鑰 並按一下下一個。 |
4 |
從 AWS 主控台獲取 ARN。 |
5 |
在 Control Hub 中輸入 ARN,然後按一下新增。 您的金鑰 ARN 會上傳至Cisco KMS,在此驗證對金鑰的存取權。然後,Control Hub 會顯示新 AWS KMS 鍵的Cisco KMS 鍵ID ,以及目前作用中的Cisco KMS 鍵ID(若有)。 如果這是您的第一個 AWS KMS 金鑰,則目前作用中的金鑰是Webex通用預設鍵 (我們目前用於加密您組織的金鑰的密鑰)。 |
6 |
選擇您想要如何啟動您的金鑰:
|
1 |
登入Control Hub ,並轉至 。 |
2 |
轉至使用中的 AWS KMS 密鑰。 |
3 |
按一下 並選取旋轉。 |
4 |
輸入新的 AWS KMS 金鑰和新的 ARN,然後按一下新增。 該過程在新增並啟動您的 AMS KMS 金鑰 在本文中。
|
5 |
按一下 啟動 。 您上傳的新 AWS KMS 密鑰將進入 Active 狀態。 舊的 AWS KMS 金鑰會保持在輪換狀態,直到Webex使用新的使用中 AWS KMS 金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。 |
1 |
登入Control Hub ,並轉至 。 |
2 |
按一下新增另一個金鑰。 |
3 |
輸入新的 AWS KMS 密鑰,然後按一下新增。 Control Hub 會顯示新 AWS KMS 鍵的Cisco KMS 鍵ID ,以及目前作用中的Cisco KMS 鍵ID的ID。 該過程在新增並啟動您的 AMS KMS 金鑰 在本文中。 |
4 |
按一下 啟動 。 您上傳的新 AWS KMS 密鑰將進入 Active 狀態。 舊的 AWS KMS 金鑰會保持在輪換狀態,直到Webex使用新的使用中 AWS KMS 金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。 |
1 |
登入Control Hub ,並轉至 。 |
2 |
轉至目前作用中的 AWS KMS 密鑰。 |
3 |
按一下 並選取本地撤銷。 |
4 |
確認金鑰撤銷。 完全撤銷您的金鑰可能需要長達 10 分鐘的時間。AWS KMS 密鑰會進入本地撤銷狀態。
|
如果您的客戶管理員從 AWS KMS 主控台撤銷金鑰,則 AWS KMS 金鑰在 Control Hub 中以「已被 Amazon 撤銷」狀態顯示。
1 |
登入Control Hub ,並轉至 。 |
2 |
轉至已撤銷的 AWS KMS 密鑰。 |
3 |
按一下 並選取刪除。 |
4 |
確認刪除密鑰。 刪除後,您可以在 30 天內恢復該金鑰。 |
我們建議您先從 Control Hub 刪除 AWS KMS 金鑰,然後再從 AWS 主控台刪除 CMK。若在 Control Hub 中刪除 AWS KMS 密鑰之前從 AWS 主控台刪除 CMK,則可能會遇到問題。
請確保在從 AWS 主控台刪除 CMK 之前,AWS KMS 金鑰在 Control Hub 中不再可見。
1 |
登入Control Hub ,並轉至 。 |
2 |
移至已刪除的 AWS KMS 鍵。 |
3 |
按一下 並選取取消刪除。 |
4 |
確認金鑰還原。 復原後,Control Hub 會向您顯示處於已撤銷狀態的金鑰。 |
如果您在使用 AWS KMS 密鑰時遇到問題,請使用以下資訊對其進行疑難排解。
-
AWS KMS 金鑰 ARN。譬如,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
。 -
AWS KMS 密鑰狀態。例如,停用 AWS KMS 密鑰。
此範例使用 3.0 版的 OpenSSL 指令行工具。請參閱OpenSSL 了解更多關於這些工具的資訊。
1 | |
2 |
轉至 。 |
3 |
按一下下載公鑰。 您會在本地系統上的 .pem 檔案中取得Webex HSM 公鑰。 |
4 |
建立 256 位元(32 位元)的金鑰: 該範例使用以下檔名main_key.bin 為您的未加密的新金鑰。 此外,您還可以使用 16 進制傾印、Python 或線上產生器來產生 32 位元組隨機值。您還可以建立和管理您的 AWS KMS 密鑰。 |
5 |
使用Webex HSM 公開金鑰來加密您的新金鑰: 該範例使用以下檔名main_key_encrypted.bin 用於加密的輸出金鑰,以及 檔案名路徑/至/public.pem Webex公鑰。 加密的金鑰已可供您上傳至 Control Hub。 |