Salesforce セキュリティガイド
jBYOK 互換の証明書の生成
Bring Your Own Key (BYOK) 鍵素材で Salesforce のデータを暗号化するには、Salesforce を使用して 4096 ビットの RSA 証明書を生成します。自己署名証明書または証明機関 (CA) 署名証明書を生成できます。各 BYOK 互換の証明書の非公開鍵は、派生した組織固有のテナントの秘密鍵で暗号化されます。
| アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
| 必要なユーザ権限 | |
|---|---|
| テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロード、設定する | 「暗号化鍵の管理」 |
| Shield Platform Encryption Bring Your Own Key サービスでの HSM により保護された証明書を編集、アップロード、およびダウンロードする | 「証明書の管理」 および 「アプリケーションのカスタマイズ」 および 「暗号化鍵の管理」 |
自己署名証明書を生成するには、次の手順を実行します。
- [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[鍵の管理] を選択します。
- [Bring Your Own Key] をクリックします。
- [自己署名証明書の作成] をクリックします。
-
[表示ラベル] 項目に証明書の一意の名前を入力します。[表示ラベル] 項目に入力する値に基づいて、[一意の名前] 項目には自動的に名前が割り当てられます。
[エクスポート可能な非公開鍵] (1)、[鍵サイズ] (2)、および [プラットフォームの暗号化の使用] (3) 設定は事前に設定されています。これらの設定により、自己署名証明書に Salesforce Shield Platform Encryption と互換性があることが保証されます。
-
[証明書と鍵の詳細] ページが表示されたら、[証明書のダウンロード] をクリックします。
自己署名証明書と CA 署名証明書のどちらが適しているかわからない場合は、組織のセキュリティポリシーを確認します。各オプションの意味の詳細については、Salesforce ヘルプの「証明書と鍵」を参照してください。
CA 署名証明書を作成するには、Salesforce ヘルプの「認証機関によって署名された証明書の生成」の手順に従います。証明書を BYOK 互換にするために、手動で [エクスポート可能な非公開鍵]、[鍵サイズ]、および [プラットフォームの暗号化] の設定を変更してください。