Bonnes pratiques pour Certificate Authority Service

Cette page présente certaines des bonnes pratiques qui peuvent vous aider à utiliser plus efficacement Certificate Authority Service.

Rôles et contrôle des accès

À l'aide d'Identity and Access Management (IAM), vous pouvez attribuer des rôles aux utilisateurs. Les rôles sont des ensembles constitués d'une ou de plusieurs autorisations. Dans IAM, les rôles peuvent être de base, prédéfinis ou personnalisés.

Type de rôle IAM	Description
De base	Inclut les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM.
Prédéfini	Les rôles prédéfinis sont créés et gérés par Google.
Personnalisée	Les rôles personnalisés sont définis par l'utilisateur et vous permettent de regrouper une ou plusieurs autorisations compatibles pour répondre à vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés.

Les individus ne doivent pas se voir attribuer plus d'un rôle à la fois. En outre, toutes les personnes occupant un poste doivent être correctement informées et formées sur leurs responsabilités et leurs pratiques de sécurité. Si vous souhaitez attribuer un ensemble varié d'autorisations à une personne, nous vous recommandons de créer un rôle personnalisé à l'aide d'IAM. Pour en savoir plus sur la création d'un rôle personnalisé, consultez Créer et gérer les rôles personnalisés.

Pour en savoir plus sur les autorisations et les rôles IAM prédéfinis, consultez la page Contrôle des accès avec IAM.

Niveaux de service CA

Les niveaux sont définis pour le pool d'autorités de certification. Toutes les autorités de certification d'un pool d'autorités de certification se voient attribuer le même niveau. CA Service fournit deux niveaux de service opérationnels pour les pools d'autorités de certification: DevOps et Enterprise. Ces deux niveaux offrent aux entreprises un équilibre entre les performances et les capacités de gestion du cycle de vie en fonction de leurs exigences opérationnelles.

Nous vous recommandons de bien envisager d'utiliser le niveau DevOps, car il ne permet pas la révocation des certificats.
Pour les autorités de certification de niveau DevOps, les certificats émis ne sont pas stockés. Vous ne pouvez suivre les certificats qu'en consultant Cloud Audit Logs, s'ils sont activés. Nous vous recommandons de n'utiliser le niveau DevOps que pour les certificats de courte durée qui n'ont pas besoin d'être révoqués, tels que les certificats utilisés avec des microservices, les conteneurs, les certificats de session, les machines virtuelles non persistantes et d'autres besoins isolés.
Pour répondre à différents besoins, une infrastructure à clé publique (PKI) peut être une combinaison d'autorités de certification au niveau du DevOps et de l'entreprise.
Dans la plupart des cas, nous vous recommandons d'utiliser le niveau Entreprise pour créer des pools d'autorités de certification qui émettent des certificats à d'autres autorités de certification et entités finales.

Pour en savoir plus sur les niveaux de service CA, consultez Sélectionner les niveaux d'opération.

Pour plus d'informations sur l'activation de Cloud Audit Logs, consultez la page Configurer les journaux d'audit des accès aux données.

Clés de signature de l'autorité de certification

Le contrôle approprié de la paire clé cryptographique sous-jacentes pour les certificats CA détermine la sécurité et l'intégrité offertes par l'ICP. Cette section présente certaines bonnes pratiques pour sécuriser les clés de signature d'autorité de certification.

Modules de sécurité matériels (HSM)

Vous pouvez configurer Certificate Authority Service pour utiliser des clés gérées par Google et Cloud HSM pour générer, stocker et utiliser des clés. Toutefois, si vous souhaitez utiliser une clé Cloud KMS existante, vous pouvez l'utiliser lors de la configuration de l'autorité de certification.

Pour plus d'informations sur Cloud HSM, consultez la page Cloud HSM.

Pour plus d'informations sur l'importation d'une clé cryptographique dans Cloud HSM ou Cloud KMS, consultez la page Importer une clé dans Cloud KMS.

Clés gérées par Google ou gérées par le client

Si vous n'avez pas d'exigences opérationnelles ou de sécurité personnalisées qui exigent une gestion directe des clés en dehors du service CA, nous vous recommandons d'utiliser des clés gérées par Google. Les clés gérées par Google fournissent un système simplifié et sécurisé par défaut de génération, de stockage et d'utilisation de clés.

Les clés gérées par Google utilisent Cloud HSM et ne sont accessibles ni utilisables par aucune autre organisation. L'accès aux clés de signature Cloud HSM et leur utilisation peuvent faire l'objet d'audits via Cloud Audit Logs.

Pour en savoir plus sur les modèles de gestion du cycle de vie, consultez Gérer les ressources.

Importer des autorités de certification externes

Il n'est pas possible d'importer des certificats précédemment émis dans le service CA. Nous vous recommandons de ne pas importer dans le service d'autorité de certification une autorité de certification externe existante disposant de certificats émis.

Séquestre de clé

CA Service utilise Cloud KMS et Cloud HSM pour protéger les clés contre l'exportation et l'extraction. Si votre organisation souhaite conserver une copie de ses clés d'autorité de certification, vous pouvez générer des clés à l'aide d'outils sur site. Pour utiliser ces clés avec Certificate Authority Service, importez-les dans Cloud KMS et Cloud HSM. Vous pouvez alors mettre les clés sous séquestre en toute sécurité et en conserver la possession jusqu'à ce que vous en ayez besoin par la suite.

Pour plus d'informations sur l'importation de clés dans Cloud KMS, consultez la page Importer une clé dans Cloud KMS.

Tailles de clés et algorithmes des autorités de certification

Les tailles et algorithmes de clé cryptographique définissent le type et la force de la paire de clés asymétrique utilisée pour signer les certificats et les listes de révocation de certificats (LRC). Les AC peuvent avoir une durée de vie relativement longue. Il est donc important que les clés soient suffisamment robustes pour être sécurisées tout au long de la durée de vie prévue de l'autorité de certification.

Si vous disposez d'un environnement PKI bien défini avec des appareils modernes, Elliptic Curve Digital Signature Algorithm (ECDSA) offre les meilleures performances et une sécurité optimale. Dans les organisations qui disposent d'un large éventail de systèmes et qui ont des doutes quant à la compatibilité des clés, l'utilisation de clés RSA peut suffire.

D'autres considérations relatives aux clés de signature d'autorités de certification sont également prises en compte, comme la conformité avec les certifications, la compatibilité avec d'autres systèmes et les modèles de menaces spécifiques. Tenez compte de votre cas d'utilisation lorsque vous choisissez une taille de clé et un algorithme.

Indépendamment de la durée de vie de l'autorité de certification, de la taille de la clé et de l'algorithme, nous vous recommandons de mettre en place un processus de rotation régulière des clés d'autorité de certification.

Pour en savoir plus sur le choix d'un algorithme pour les clés de signature, consultez Choisir un algorithme de clé.