Praktik terbaik untuk Certificate Authority Service

Halaman ini menguraikan beberapa praktik terbaik yang dapat membantu Anda menggunakan Certificate Authority Service secara lebih efektif.

Peran dan kontrol akses

Dengan menggunakan Identity and Access Management (IAM), Anda dapat memberikan peran kepada pengguna. Peran adalah paket berisi satu atau beberapa izin. Peran di IAM dapat berupa dasar, bawaan, atau kustom.

Jenis peran IAM Deskripsi
Dasar Mencakup peran Pemilik, Editor, dan Pelihat yang ada sebelum pengenalan IAM.
Bawaan Peran standar dibuat dan dikelola oleh Google.
Kustom Peran khusus ditetapkan oleh pengguna, dan memungkinkan Anda menggabungkan satu atau beberapa izin yang didukung untuk memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Memahami peran khusus.

Individu tidak boleh diberi lebih dari satu peran pada waktu tertentu. Selain itu, setiap orang yang memegang peran yang ditetapkan harus diberi pengarahan dan pelatihan yang tepat terkait tanggung jawab dan praktik keamanan mereka. Jika Anda ingin menetapkan serangkaian izin yang beragam kepada individu, sebaiknya buat peran kustom menggunakan IAM. Untuk mengetahui informasi tentang cara membuat peran khusus, lihat Membuat dan mengelola peran khusus.

Untuk mengetahui informasi tentang izin dan peran IAM yang telah ditetapkan, lihat Kontrol akses dengan IAM.

Tingkat CA Service

Tingkat ditetapkan untuk kumpulan certificate authority (CA). Semua CA dalam kumpulan CA ditetapkan ke tingkat yang sama. CA Service menyediakan dua tingkat layanan operasional untuk kumpulan CA: DevOps dan Enterprise. Kedua tingkat ini memberikan keseimbangan kemampuan performa dan pengelolaan siklus proses kepada organisasi berdasarkan persyaratan operasional.

  • Sebaiknya pertimbangkan dengan cermat penggunaan tingkat DevOps karena tidak mendukung pencabutan sertifikat.
  • Untuk CA di tingkat DevOps, sertifikat yang diterbitkan tidak disimpan. Anda hanya dapat melacak sertifikat dengan meninjau Cloud Audit Logs, jika diaktifkan. Sebaiknya gunakan tingkat DevOps hanya untuk sertifikat berumur pendek yang tidak perlu dicabut, seperti sertifikat yang digunakan dengan microservice, penampung, sertifikat sesi, virtual machine non-persisten, dan kebutuhan terisolasi lainnya.
  • Infrastruktur Kunci Publik (PKI) dapat terdiri dari kombinasi CA di tingkat DevOps dan Enterprise untuk memenuhi berbagai kebutuhan.
  • Dalam sebagian besar kasus, sebaiknya gunakan tingkat Enterprise untuk membuat kumpulan CA yang menerbitkan sertifikat ke CA dan entitas akhir lainnya.

Untuk mengetahui informasi selengkapnya tentang Tingkat Layanan CA, lihat Memilih tingkat operasi.

Untuk informasi tentang cara mengaktifkan Log Audit Cloud, lihat Mengonfigurasi log audit Akses Data.

Kunci penandatanganan CA

Kontrol yang tepat atas pasangan kunci kriptografis yang mendasari sertifikat CA menentukan keamanan dan integritas yang diberikan oleh PKI. Bagian ini mencantumkan beberapa praktik terbaik untuk mengamankan kunci penandatanganan CA.

Modul Keamanan Hardware (HSM)

Anda dapat mengonfigurasi Layanan CA untuk menggunakan kunci yang dimiliki dan dikelola Google yang menggunakan Cloud HSM untuk membuat, menyimpan, dan menggunakan kunci. Namun, jika ingin menggunakan kunci Cloud KMS yang ada, Anda dapat menggunakan kunci tersebut selama penyiapan CA.

Untuk informasi selengkapnya tentang Cloud HSM, lihat Cloud HSM.

Untuk informasi selengkapnya tentang cara mengimpor kunci kriptografis ke Cloud HSM atau Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Kunci yang dikelola Google versus kunci yang dikelola pelanggan

Jika Anda tidak memiliki persyaratan keamanan atau operasional kustom yang memerlukan pengelolaan kunci langsung di luar Layanan CA, sebaiknya Anda menggunakan kunci milik dan dikelola Google. Kunci milik dan dikelola Google menyediakan sistem pembuatan, penyimpanan, dan penggunaan kunci yang disederhanakan dan aman secara default.

Kunci yang dimiliki dan dikelola Google menggunakan Cloud HSM dan tidak dapat diakses atau digunakan oleh organisasi lain. Akses dan penggunaan kunci penandatanganan Cloud HSM dapat diaudit melalui Cloud Audit Logs.

Untuk mengetahui informasi selengkapnya tentang model pengelolaan siklus proses, lihat Mengelola resource.

Mengimpor CA eksternal

Anda tidak dapat mengimpor sertifikat yang telah diterbitkan sebelumnya ke Layanan CA. Sebaiknya Anda tidak mengimpor CA eksternal yang ada dengan sertifikat yang dikeluarkan ke Layanan CA.

Key Escrow

Layanan CA menggunakan Cloud KMS dan Cloud HSM untuk melindungi kunci dari ekspor dan ekstraksi. Jika organisasi Anda ingin mempertahankan salinan kunci CA-nya, Anda dapat membuat kunci menggunakan alat lokal. Untuk menggunakan kunci tersebut dengan Layanan CA, impor kunci ke Cloud KMS dan Cloud HSM. Kemudian, Anda dapat menyimpan kunci dengan aman dan mempertahankan kepemilikannya hingga diperlukan di masa mendatang.

Untuk informasi tentang cara mengimpor kunci ke Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Ukuran dan algoritma kunci CA

Ukuran dan algoritma kunci kriptografi menentukan jenis dan kekuatan pasangan kunci asimetris yang digunakan untuk menandatangani sertifikat dan Daftar Penghentian Sertifikat (CRL). CA dapat aktif selama jangka waktu yang relatif lama. Oleh karena itu, kunci harus cukup kuat agar aman selama masa aktif CA yang diinginkan.

Jika Anda memiliki lingkungan PKI yang ditentukan dengan baik dengan perangkat modern, Elliptic Curve Digital Signature Algorithm (ECDSA) menawarkan performa dan keamanan terbaik. Di organisasi dengan berbagai sistem dan ketidakpastian tentang dukungan kunci, penggunaan kunci berbasis RSA mungkin sudah cukup.

Ada juga pertimbangan lain untuk kunci penandatanganan CA, seperti kepatuhan terhadap sertifikasi, kompatibilitas dengan sistem lain, dan model ancaman tertentu. Pertimbangkan kasus penggunaan Anda saat memilih ukuran dan algoritma kunci.

Terlepas dari masa berlaku CA, atau ukuran dan algoritma kunci, sebaiknya siapkan proses untuk rotasi kunci CA secara rutin.

Untuk informasi selengkapnya tentang cara memilih algoritma untuk menandatangani kunci, lihat Memilih algoritma kunci.

Langkah selanjutnya