Best Practices für Certificate Authority Service
Auf dieser Seite werden einige der Best Practices beschrieben, die Ihnen dabei helfen können, Certificate Authority Service effektiver zu nutzen.
Rollen und Zugriffssteuerung
Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie Nutzern Rollen zuweisen. Rollen enthalten eine oder mehrere Berechtigungen. Rollen in IAM können entweder einfach, vordefiniert oder benutzerdefiniert sein.
| IAM-Rollentyp | Beschreibung |
|---|---|
| Einfach | Umfasst die Rollen „Owner“, „Editor“ und „Viewer“, die es schon vor der Einführung von IAM gab. |
| Vordefiniert | Vordefinierte Rollen werden von Google erstellt und verwaltet. |
| Benutzerdefiniert | Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen es Ihnen, eine oder mehrere unterstützte Berechtigungen bündeln zu können, um Ihre spezifischen Anforderungen zu erfüllen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen. |
Einer Person sollte immer nur eine Rolle zugewiesen werden. Darüber hinaus sollten alle Personen mit einer zugewiesenen Rolle ordnungsgemäß über ihre Verantwortlichkeiten und Sicherheitspraktiken informiert und geschult werden. Wenn Sie einer Person unterschiedliche Berechtigungen zuweisen möchten, empfehlen wir, eine benutzerdefinierte Rolle mithilfe von IAM zu erstellen. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Informationen zu Berechtigungen und vordefinierten IAM-Rollen finden Sie unter Zugriffssteuerung mit IAM.
CA Service-Stufen
Stufen werden für den Pool der Zertifizierungsstelle (Certificate Authority, CA) festgelegt. Allen Zertifizierungsstellen in einem Zertifizierungsstellenpool wird dieselbe Stufe zugewiesen. CA Service bietet zwei operative Dienststufen für CA-Pools: DevOps und Enterprise. Diese beiden Stufen bieten Unternehmen ein ausgewogenes Verhältnis zwischen Leistung und Funktionen für die Lebenszyklusverwaltung basierend auf den operativen Anforderungen.
- Wir empfehlen, die Verwendung der DevOps-Stufe sorgfältig in Betracht zu ziehen, da sie den Zertifikatswiderruf nicht unterstützt.
- Für CAs in der DevOps-Stufe werden ausgestellte Zertifikate nicht gespeichert. Sie können Zertifikate nur über die Cloud-Audit-Logs nachverfolgen, sofern diese aktiviert sind. Wir empfehlen, die DevOps-Stufe nur für kurzlebige Zertifikate zu verwenden, die nicht widerrufen werden müssen, z. B. Zertifikate, die mit Mikrodiensten, Containern, Sitzungszertifikaten, nicht persistenten virtuellen Maschinen und anderen isolierten Anforderungen verwendet werden.
- Eine Public-Key-Infrastruktur (PKI) kann aus einer Kombination von Zertifizierungsstellen in DevOps- und Enterprise-Stufen bestehen, um verschiedene Anforderungen zu erfüllen.
- In den meisten Fällen empfehlen wir, die Enterprise-Stufe zu verwenden, um CA-Pools zu erstellen, die Zertifikate für andere CAs und Endentitäten ausstellen.
Weitere Informationen zu CA-Dienststufen finden Sie unter Vorgangsstufen auswählen.
Informationen zum Aktivieren von Cloud-Audit-Logs finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
CA-Signaturschlüssel
Die ordnungsgemäße Kontrolle des zugrunde liegenden kryptografischen Schlüsselpaars für CA-Zertifikate bestimmt die Sicherheit und Integrität der PKI. In diesem Abschnitt sind einige Best Practices zum Sichern von CA-Signaturschlüsseln aufgeführt.
Hardwaresicherheitsmodule (HSM)
Sie können CA Service so konfigurieren, dass Google-eigene und von Google verwaltete Schlüssel verwendet werden, die Cloud HSM zum Generieren, Speichern und Verwenden von Schlüsseln verwenden. Wenn Sie jedoch einen vorhandenen Cloud KMS-Schlüssel verwenden möchten, können Sie den Schlüssel bei der Einrichtung der Zertifizierungsstelle verwenden.
Weitere Informationen zu Cloud HSM finden Sie unter Cloud HSM.
Weitere Informationen zum Importieren eines kryptografischen Schlüssels in Cloud HSM oder Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.
Von Google verwaltete im Vergleich zu vom Kunden verwalteten Schlüssel
Wenn Sie keine benutzerdefinierten Sicherheits- oder Betriebsanforderungen haben, die eine direkte Verwaltung von Schlüsseln außerhalb von CA Service erfordern, empfehlen wir, dass Sie Google-eigene und von Google verwaltete Schlüssel verwenden. Google-eigene und von Google verwaltete Schlüssel bieten ein vereinfachtes und standardmäßig sicheres System für die Generierung, Speicherung und Nutzung von Schlüsseln.
Google-eigene und von Google verwaltete Schlüssel verwenden Cloud HSM und sind für keine andere Organisation zugänglich oder nutzbar. Der Zugriff auf und die Verwendung von Cloud HSM-Signaturschlüsseln können über Cloud-Audit-Logs geprüft werden.
Weitere Informationen zu Lebenszyklusverwaltungsmodellen finden Sie unter Ressourcen verwalten.
Externe Zertifizierungsstellen importieren
Es ist nicht möglich, zuvor ausgestellte Zertifikate in den CA-Dienst zu importieren. Wir empfehlen, keine vorhandene externe Zertifizierungsstelle mit ausgestellten Zertifikaten in den CA-Dienst zu importieren.
Treuhänderische Schlüsselaufbewahrung
CA Service verwendet Cloud KMS und Cloud HSM, um Schlüssel vor Export und Extraktion zu schützen. Wenn Ihre Organisation eine Kopie der CA-Schlüssel behalten möchte, können Sie Schlüssel mit lokalen Tools generieren. Wenn Sie diese Schlüssel mit dem Zertifizierungsstellendienst verwenden möchten, importieren Sie die Schlüssel in Cloud KMS und Cloud HSM. Sie können die Schlüssel dann bedenkenlos hinterlegen und so lange im Besitz der Schlüssel behalten, bis Sie sie benötigen.
Informationen zum Importieren von Schlüsseln in Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.
CA-Schlüsselgrößen und Algorithmen
Kryptografische Schlüsselgrößen und Algorithmen definieren den Typ und die Stärke des asymmetrischen Schlüsselpaars, das zum Signieren von Zertifikaten und Zertifikatssperrlisten verwendet wird. Zertifizierungsstellen haben eine relativ lange Lebensdauer. Daher ist es wichtig, dass die Schlüssel für die gesamte Lebensdauer der Zertifizierungsstelle sicher genug sind.
Wenn Sie mit modernen Geräten eine klar definierte PKI-Umgebung haben, bietet der Elliptic Curve Digital Signature Algorithm (ECDSA) die beste Leistung und Sicherheit. In Organisationen mit vielen Systemen und Unsicherheit in Bezug auf die Unterstützung von Schlüsseln kann es ausreichend sein, RSA-basierte Schlüssel zu verwenden.
Bei CA-Signaturschlüsseln müssen noch weitere Aspekte berücksichtigt werden, z. B. die Einhaltung von Zertifizierungen, die Kompatibilität mit anderen Systemen und die spezifischen Bedrohungsmodelle. Berücksichtigen Sie bei der Auswahl der Schlüsselgröße und des Algorithmus Ihren Anwendungsfall.
Unabhängig von der Lebensdauer der Zertifizierungsstelle oder der Schlüsselgröße und dem Algorithmus empfehlen wir, einen Prozess für die regelmäßige Rotation von CA-Schlüsseln einzurichten.
Weitere Informationen zum Auswählen eines Algorithmus für Signierschlüssel finden Sie unter Schlüsselalgorithmus auswählen.
Nächste Schritte
- CA-Pool erstellen
- Root-Zertifizierungsstelle erstellen
- Untergeordnete Zertifizierungsstelle erstellen
- Zertifikatsvorlage erstellen