Bonnes pratiques pour Certificate Authority Service
Cette page présente quelques-unes des bonnes pratiques qui peuvent vous aider à utiliser plus efficacement Certificate Authority Service.
Rôles et contrôle des accès
À l'aide d'Identity and Access Management (IAM), vous pouvez attribuer des rôles aux utilisateurs. Les rôles sont des ensembles d'une ou de plusieurs autorisations. Dans IAM, les rôles peuvent être de base, prédéfinis ou personnalisés.
| Type de rôle IAM | Description |
|---|---|
| De base | Inclut les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM. |
| Prédéfini | Les rôles prédéfinis sont créés et gérés par Google. |
| Personnalisée | Les rôles personnalisés sont définis par l'utilisateur et vous permettent de grouper une ou plusieurs autorisations compatibles pour répondre à vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés. |
Un individu ne doit pas se voir attribuer plusieurs rôles à la fois. De plus, toute personne occupant un rôle qui lui est assigné doit être correctement informée et formée sur ses responsabilités et ses pratiques de sécurité. Si vous souhaitez attribuer un ensemble varié d'autorisations à une personne, nous vous recommandons de créer un rôle personnalisé à l'aide d'IAM. Pour en savoir plus sur la création d'un rôle personnalisé, consultez Créer et gérer les rôles personnalisés.
Pour en savoir plus sur les autorisations et les rôles IAM prédéfinis, consultez la page Contrôle des accès avec IAM.
Niveaux de service d'autorité de certification
Les niveaux sont définis pour le pool d'autorités de certification. Toutes les autorités de certification d'un pool d'autorités de certification se voient attribuer le même niveau. CA Service propose deux niveaux de service opérationnels pour les pools d'autorités de certification: DevOps et Enterprise. Ces deux niveaux offrent aux entreprises un équilibre entre les fonctionnalités de gestion des performances et du cycle de vie en fonction des exigences opérationnelles.
- Nous vous recommandons de bien réfléchir à l'utilisation du niveau DevOps, car il ne permet pas la révocation de certificats.
- Pour les autorités de certification de niveau DevOps, les certificats émis ne sont pas stockés. Vous ne pouvez suivre les certificats qu'en examinant les journaux d'audit Cloud, s'ils sont activés. Nous vous recommandons d'utiliser le niveau DevOps uniquement pour les certificats de courte durée qui n'ont pas besoin d'être révoqués, tels que les certificats utilisés avec des microservices, des conteneurs, des certificats de session, des machines virtuelles non persistantes et d'autres besoins isolés.
- Une infrastructure à clé publique (PKI) peut être constituée d'une combinaison d'autorités de certification aux niveaux DevOps et Enterprise afin de répondre à différents besoins.
- Dans la plupart des cas, nous vous recommandons d'utiliser le niveau Entreprise pour créer des pools d'autorités de certification qui délivrent des certificats à d'autres autorités de certification et entités finales.
Pour en savoir plus sur les niveaux de service CA, consultez Sélectionner les niveaux d'opération.
Pour en savoir plus sur l'activation de Cloud Audit Logs, consultez la page Configurer les journaux d'audit pour l'accès aux données.
Clés de signature d'autorités de certification
Le contrôle approprié de la paire clé cryptographique sous-jacente pour les certificats CA détermine la sécurité et l'intégrité offertes par l'ICP. Cette section liste quelques bonnes pratiques pour sécuriser les clés de signature d'autorité de certification.
Modules de sécurité matériels (HSM)
Vous pouvez configurer le service CA pour utiliser des clés détenues ou gérées par Google qui utilisent Cloud HSM pour générer, stocker et utiliser des clés. Toutefois, si vous souhaitez utiliser une clé Cloud KMS existante, vous pouvez l'utiliser lors de la configuration de l'autorité de certification.
Pour plus d'informations sur Cloud HSM, consultez la page Cloud HSM.
Pour en savoir plus sur l'importation d'une clé cryptographique dans Cloud HSM ou Cloud KMS, consultez la section Importer une clé dans Cloud KMS.
Clés gérées par Google ou clés gérées par le client
Si vous n'avez pas d'exigences de sécurité ou opérationnelles personnalisées nécessitant une gestion directe des clés en dehors de CA Service, nous vous recommandons d'utiliser des clés détenues et gérées par Google. Les clés détenues et gérées par Google fournissent un système de génération, de stockage et d'utilisation de clés simplifié et sécurisé par défaut.
Les clés détenues et gérées par Google utilisent Cloud HSM et ne sont accessibles ni utilisables par aucune autre organisation. Vous pouvez contrôler l'accès et l'utilisation des clés de signature Cloud HSM via Cloud Audit Logs.
Pour en savoir plus sur les modèles de gestion du cycle de vie, consultez Gérer les ressources.
Importer des autorités de certification externes
Il est impossible d'importer des certificats précédemment émis dans CA Service. Nous vous recommandons de ne pas importer dans CA Service une autorité de certification externe existante dont les certificats ont été émis.
Séquestre de clé
CA Service utilise Cloud KMS et Cloud HSM pour protéger les clés contre l'exportation et l'extraction. Si votre organisation souhaite conserver une copie de ses clés d'autorité de certification, vous pouvez générer des clés à l'aide d'outils sur site. Pour utiliser ces clés avec CA Service, importez-les dans Cloud KMS et Cloud HSM. Vous pouvez ensuite mettre les clés sous séquestre en toute sécurité et en conserver la possession jusqu'à ce que vous en ayez besoin à l'avenir.
Pour plus d'informations sur l'importation de clés dans Cloud KMS, consultez la page Importer une clé dans Cloud KMS.
Tailles de clés et algorithmes d'autorité de certification
Les tailles de clés cryptographiques et les algorithmes définissent le type et le niveau de sécurité de la paire de clés asymétriques utilisée pour signer les certificats et les listes de révocation de certificats (LRC). Les autorités de certification peuvent avoir une durée de vie relativement longue. Il est donc important que les clés soient suffisamment solides pour être sécurisées tout au long de la durée de vie prévue de l'autorité de certification.
Si vous disposez d'un environnement PKI bien défini avec des appareils modernes, l'algorithme de signature numérique à courbe elliptique (ECDSA) offre les meilleures performances et la meilleure sécurité. Dans les organisations disposant d'un large éventail de systèmes et qui manquent de certitude quant à la compatibilité des clés, l'utilisation de clés basées sur RSA peut suffire.
D'autres éléments sont à prendre en compte concernant les clés de signature d'autorités de certification, comme la conformité avec les certifications, la compatibilité avec d'autres systèmes et les modèles de menaces spécifiques. Tenez compte de votre cas d'utilisation lorsque vous choisissez une taille de clé et un algorithme.
Indépendamment de la durée de vie de l'autorité de certification, ou de la taille de clé et de l'algorithme, nous vous recommandons de mettre en place un processus de rotation régulière des clés d'autorité de certification.
Pour en savoir plus sur le choix d'un algorithme pour les clés de signature, consultez la page Choisir un algorithme de clé.
Étapes suivantes
- Créer un pool d'autorités de certification
- Créer une autorité de certification racine
- Créer une autorité de certification subordonnée
- Créer un modèle de certificat