詳細情報:
独自の暗号化キーの作成
Marketing Cloud Engagement で、作成およびラッピングプロセスに複数の鍵を使用して暗号化鍵を作成できます。ラップされたバージョンの中間キーとプライベートキーを指定します。ラップされた鍵は、インポートする前に Base64 エンコードを使用します。
作成したキー値のバックアップを常に保持してください。エンゲージメントでは、取り消されたキー値や削除されたキー値は保持されません。この鍵は、メッセージングプラットフォームデータベースのデータを復号化するために必要です。
| キー名 | 型 | ファイル形式 | キーラッピングアルゴリズム |
|---|---|---|---|
| Salesforce ラッピングキー | RSA 4096 公開キー | PEM (PKCS #8) | なし |
| 中間キー | AES 256 | バイナリ (バイト) | SHA256 および MGF1 パディングを含む OAEP - Salesforce ラッピングキーで中間キーをラップ |
| プライベートキー | RSA 2048 プライベート-公開キーペア | DER (PKCS #8) | パディングおよび代替初期値 (RFC 5649) を含む AES キーラップ - 中間キーでプライベートキーをラップ |
次の手順には、OpenSSL を使用してキーファイルを生成およびラップする方法が示されています。OpenSSL 3.0 をお勧めします。 次のサンプル手順は、必ずしも本番環境に適しているとは限りません。OpenSSL 1.1.1 で AES キーラッピングを有効にするには、パッチが必要です。
- 名前の上にマウスを置き、[セットアップ] をクリックします。
- 検索フィールドに「Bring Your Own Key」と入力し、[Bring Your Own Key] をクリックします。
- [新しいキー] クリックして [ラップされたキーをインポート] を選択します。
-
[Wrapping Key] フィールドから RSA 公開キー値をコピーします。をクリックできます。
をクリックします 。後で使用するために、「salesforce_rsa_pub」というファイルにキーを保存します。キーの種別に関係なく、公開キーは同じ値のままです。
エンゲージメントでは、有効化された取引先ごとに RSA 4096 が生成されます。[ラップされたキーをインポート] ページに表示される [ラッピングキー] フィールドを使用して、公開キー値にアクセスします。対応するプライベートキーは、ラッピング解除用にエクスポート不可能な構成に保存されます。 -
AES 256 中間キーを作成します。次のコマンドは、32 ランダムバイトのバイナリ形式で AES256 キーを生成します。
コマンド:
openssl rand -out aeskey.bin 32 -
バイナリ AES キーを 16 進形式に変換します。この例では、xxd ツールを使用して変換を実行します。
コマンド:
xxd -plain -c 100 aeskey.bin > aeskey.hex16 進形式を表示するには、コマンドプロンプトに「type aeskey.hex」と入力するか、bash に「cat aeskey.hex」と入力します。
サンプルの出力:
137c4fe6a7d08341e7756fd02050fff513e1d92ff464c35977d650b81f67a73f -
ステップ 5 で作成した aeskey.bin の中間 AES 鍵を、ステップ 4 で作成した salesforce_rsa_pub の Salesforce RSA 鍵で暗号化します。 SHA256 および MGF1 パディングで OAEP を使用します。「oaep_wrapped_intermediate_aes_key」というファイルに出力を保存します。
コマンド:
openssl pkeyutl -in aeskey.bin -encrypt -pubin -inkey salesforce_rsa_pub -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pkeyopt rsa_mgf1_md:sha256 > oaep_wrapped_intermediate_aes_key -
RSA 2048 公開-プライベートキーペアを生成します。キー暗号化キーとして使用するためにこのキーをインポートします。このキーを安全な場所に保存します。
コマンド:
openssl genrsa -out customer_key_private.pem 2048 -
RSA キーを PKCS#8 形式に変換し、「customer_key.der」というファイルに保存します。
コマンド:
openssl pkcs8 -topk8 -inform pem -in customer_key_private.pem -outform der -nocrypt -out customer_key.der -
中間 AES キーを使用して RSA キーを暗号化します。<YOURAESKEYVALUE> 文字列を置き換えるときに、コマンドでステップ 6 の AES キー値を使用します。
コマンド:
openssl enc -id-aes256-wrap-pad -nosalt -in customer_key.der -K <YOURAESKEYVALUE> -iv A65959A6 > aes_wrapped_user_rsa_keyサンプルコマンド:openssl enc -id-aes256-wrap-pad -nosalt -in customer_key.der -K 94607bc6e0078bc1e07a99fafb37f494933b8b8cff085ac308fdbaed988642f8 -iv A65959A6 > aes_wrapped_user_rsa_key -
「oaep_wrapped_intermediate_aes_key.b64」というファイルにラップされた中間 AES キーを保存します。
コマンド:
openssl base64 -in oaep_wrapped_intermediate_aes_key -out oaep_wrapped_intermediate_aes_key.b64 -
「aes_wrapped_user_rsa_key.b64」というファイルにラップされた RSA キーを保存します。
コマンド:
openssl base64 -in aes_wrapped_user_rsa_key -out aes_wrapped_user_rsa_key.b64
- 暗号化キーの OpenSSL バージョン
Marketing Cloud Engagement では、OpenSSL ソフトウェアライブラリを使用して暗号化鍵を生成およびラップします。OpenSSL 1.1.1 で AES キーラッピングを有効にするには、パッチが必要です。
この記事で問題は解決されましたか?
ご意見をお待ちしております。
