Best Practices für Certificate Authority Service

Auf dieser Seite werden einige Best Practices beschrieben, mit denen Sie Certificate Authority Service noch effektiver nutzen können.

Rollen und Zugriffssteuerung

Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie Nutzern Rollen zuweisen. Rollen enthalten eine oder mehrere Berechtigungen. Rollen in IAM können einfach, vordefiniert oder benutzerdefiniert sein.

IAM-Rollentyp Beschreibung
Einfach Dazu gehören die Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“, die es vor der Einführung von IAM gab.
Vordefiniert Vordefinierte Rollen werden von Google erstellt und verwaltet.
Benutzerdefiniert Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen es Ihnen, eine oder mehrere unterstützte Berechtigungen zusammenzufassen, um Ihre spezifischen Anforderungen zu erfüllen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen.

Einzelpersonen sollten nicht mehr als eine Rolle zugewiesen werden. Darüber hinaus sollten alle Personen mit einer zugewiesenen Rolle ordnungsgemäß über ihre Verantwortlichkeiten und Sicherheitspraktiken informiert und geschult werden. Wenn Sie einer Person eine Vielzahl von Berechtigungen zuweisen möchten, empfehlen wir Ihnen, mit IAM eine benutzerdefinierte Rolle zu erstellen. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Informationen zu Berechtigungen und vordefinierten IAM-Rollen finden Sie unter Zugriffssteuerung mit IAM.

CA-Dienststufen

Stufen werden für den Pool der Zertifizierungsstelle (Certificate Authority, CA) festgelegt. Alle Zertifizierungsstellen in einem Zertifizierungspool werden derselben Stufe zugewiesen. CA Service bietet zwei operative Dienststufen für CA-Pools: DevOps und Enterprise. Diese beiden Stufen bieten Unternehmen ein ausgewogenes Verhältnis zwischen Leistung und Funktionen für die Lebenszyklusverwaltung basierend auf den operativen Anforderungen.

  • Wir empfehlen Ihnen, die Verwendung der DevOps-Stufe sorgfältig zu überdenken, da sie den Widerruf von Zertifikaten nicht unterstützt.
  • Bei Zertifizierungsstellen auf der DevOps-Ebene werden ausgestellte Zertifikate nicht gespeichert. Sie können Zertifikate nur mithilfe von Cloud-Audit-Logs nachverfolgen, sofern diese aktiviert sind. Wir empfehlen, die DevOps-Stufe nur für kurzlebige Zertifikate zu verwenden, die nicht widerrufen werden müssen, z. B. für Zertifikate, die mit Mikrodiensten, Containern, Sitzungszertifikaten, nicht persistenten virtuellen Maschinen und anderen isolierten Anforderungen verwendet werden.
  • Eine Public-Key-Infrastruktur (PKI) kann aus einer Kombination von Zertifizierungsstellen in DevOps- und Enterprise-Stufen bestehen, um verschiedene Anforderungen zu erfüllen.
  • In den meisten Fällen empfehlen wir, die Enterprise-Stufe zu verwenden, um CA-Pools zu erstellen, die Zertifikate für andere CAs und Endentitäten ausstellen.

Weitere Informationen zu CA-Dienststufen finden Sie unter Vorgangsstufen auswählen.

Informationen zum Aktivieren von Cloud-Audit-Logs finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.

CA-Signaturschlüssel

Die ordnungsgemäße Kontrolle des zugrunde liegenden kryptografischen Schlüsselpaars für CA-Zertifikate bestimmt die Sicherheit und Integrität der PKI. In diesem Abschnitt werden einige Best Practices für die Sicherung von CA-Signaturschlüsseln aufgeführt.

Hardwaresicherheitsmodule (HSM)

Sie können den Zertifizierungsstellendienst so konfigurieren, dass Schlüssel von Google und von Google verwaltete Schlüssel verwendet werden, die Cloud HSM zum Generieren, Speichern und Verwenden von Schlüsseln Wenn Sie jedoch einen vorhandenen Cloud KMS-Schlüssel verwenden möchten, können Sie ihn bei der Einrichtung der Zertifizierungsstelle verwenden.

Weitere Informationen zu Cloud HSM finden Sie unter Cloud HSM.

Weitere Informationen zum Importieren eines kryptografischen Schlüssels in Cloud HSM oder Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

Von Google verwaltete Schlüssel im Vergleich zu vom Kunden verwalteten Schlüsseln

Wenn Sie keine benutzerdefinierten Sicherheits- oder Betriebsanforderungen haben, der direkten Verwaltung von Schlüsseln außerhalb von CA Service empfehlen wir, Sie verwenden Google-eigene und von Google verwaltete Schlüssel. Von Google und von Google verwaltete Schlüssel bieten ein vereinfachtes und standardmäßig sicheres System zur Schlüsselgenerierung, -speicherung und -nutzung.

Schlüssel, die Google gehören und von Google verwaltet werden, verwenden Cloud HSM und sind für niemanden zugänglich oder nutzbar eines anderen Unternehmens. Zugriff und Verwendung von Cloud HSM-Signaturschlüsseln können über Cloud-Audit-Logs geprüft werden.

Weitere Informationen zu Lebenszyklusverwaltungsmodellen finden Sie unter Ressourcen verwalten.

Externe Zertifizierungsstellen importieren

Es ist nicht möglich, zuvor ausgestellte Zertifikate in den CA-Dienst zu importieren. Wir empfehlen, keine vorhandene externe Zertifizierungsstelle mit ausgestellten Zertifikaten in den CA-Dienst zu importieren.

Treuhänderische Schlüsselaufbewahrung

CA Service verwendet Cloud KMS und Cloud HSM, um Schlüssel vor Export und Extraktion zu schützen. Wenn Ihre Organisation eine Kopie ihrer CA-Schlüssel aufbewahren möchte, können Sie Schlüssel mithilfe von On-Premise-Tools generieren. Wenn Sie diese Schlüssel mit dem Zertifizierungsstellendienst verwenden möchten, importieren Sie die Schlüssel in Cloud KMS und Cloud HSM. Sie können die Schlüssel dann sicher verwahren und bis zur späteren Verwendung aufbewahren.

Informationen zum Importieren von Schlüsseln in Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

Schlüsselgrößen und Algorithmen der Zertifizierungsstelle

Kryptografische Schlüsselgrößen und Algorithmen definieren den Typ und die Stärke des asymmetrischen Schlüsselpaars, das zum Signieren von Zertifikaten und Zertifikatssperrlisten verwendet wird. Zertifizierungsstellen können relativ lange bestehen. Daher ist es wichtig, dass die Schlüssel für die gesamte Lebensdauer der Zertifizierungsstelle sicher genug sind.

Wenn Sie mit modernen Geräten eine klar definierte PKI-Umgebung haben, bietet der Elliptic Curve Digital Signature Algorithm (ECDSA) die beste Leistung und Sicherheit. In Organisationen mit einer Vielzahl von Systemen und Unsicherheiten hinsichtlich der Schlüsselunterstützung kann es ausreichen, RSA-basierte Schlüssel zu verwenden.

Bei CA-Signaturschlüsseln müssen noch weitere Aspekte berücksichtigt werden, z. B. die Einhaltung von Zertifizierungen, die Kompatibilität mit anderen Systemen und die spezifischen Bedrohungsmodelle. Berücksichtigen Sie Ihren Anwendungsfall bei der Auswahl einer Schlüsselgröße und eines Algorithmus.

Unabhängig von der Lebensdauer der Zertifizierungsstelle, der Schlüsselgröße und dem Algorithmus empfehlen wir, einen Prozess für die regelmäßige Rotation von CA-Schlüsseln einzurichten.

Weitere Informationen zur Auswahl eines Algorithmus für Signaturschlüssel finden Sie unter Schlüsselalgorithmus auswählen.

Nächste Schritte