Best Practices für Certificate Authority Service
Auf dieser Seite werden einige Best Practices beschrieben, mit denen Sie Certificate Authority Service noch effektiver nutzen können.
Rollen und Zugriffssteuerung
Mit Identity and Access Management (IAM) können Sie Nutzern Rollen zuweisen. Rollen enthalten eine oder mehrere Berechtigungen. Rollen in IAM können einfach, vordefiniert oder benutzerdefiniert sein.
| IAM-Rollentyp | Beschreibung |
|---|---|
| Einfach | Dazu gehören die Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“, die es vor der Einführung von IAM gab. |
| Vordefiniert | Vordefinierte Rollen werden von Google erstellt und verwaltet. |
| Benutzerdefiniert | Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen die Zusammenstellung von einer oder mehreren unterstützten Berechtigungen, je nach Ihren speziellen Anforderungen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen. |
Einzelpersonen sollten nicht mehr als eine Rolle zugewiesen werden. Darüber hinaus sollten alle Personen mit einer zugewiesenen Rolle entsprechend über ihre Aufgaben und Sicherheitspraktiken informiert und geschult werden. Wenn Sie einer Person eine Vielzahl von Berechtigungen zuweisen möchten, empfehlen wir Ihnen, mit IAM eine benutzerdefinierte Rolle zu erstellen. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Informationen zu Berechtigungen und vordefinierten IAM-Rollen finden Sie unter Zugriffssteuerung mit IAM.
CA-Dienststufen
Stufen werden für den CA-Pool (Zertifizierungsstelle) festgelegt. Alle Zertifizierungsstellen in einem Zertifizierungspool werden derselben Stufe zugewiesen. Der CA-Dienst bietet zwei Betriebsstufen für CA-Pools: DevOps und Enterprise. Diese beiden Stufen bieten Unternehmen eine ausgewogene Kombination aus Leistungs- und Lebenszyklusverwaltungsfunktionen, die auf den betrieblichen Anforderungen basieren.
- Wir empfehlen Ihnen, die Verwendung der DevOps-Stufe sorgfältig zu überdenken, da sie den Widerruf von Zertifikaten nicht unterstützt.
- Bei Zertifizierungsstellen auf der DevOps-Ebene werden ausgestellte Zertifikate nicht gespeichert. Sie können Zertifikate nur im Falle einer Aktivierung in Cloud-Audit-Logs prüfen. Wir empfehlen, die DevOps-Stufe nur für kurzlebige Zertifikate zu verwenden, die nicht widerrufen werden müssen, z. B. Zertifikate, die mit Microservices, Containern, Sitzungszertifikaten, nicht persistenten virtuellen Maschinen und anderen isolierten Anforderungen verwendet werden.
- Eine Public-Key-Infrastruktur (PKI) kann aus einer Kombination von Zertifizierungsstellen in DevOps- und Enterprise-Stufen bestehen, um verschiedene Anforderungen zu erfüllen.
- In den meisten Fällen empfehlen wir die Verwendung der Enterprise-Stufe, um CA-Pools zu erstellen, die Zertifikate für andere Zertifizierungsstellen und Endentitäten ausstellen.
Weitere Informationen zu den Dienststufen der Zertifizierungsstelle finden Sie unter Betriebsstufen auswählen.
Informationen zum Aktivieren von Cloud-Audit-Logs finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
CA-Signaturschlüssel
Die ordnungsgemäße Kontrolle des zugrunde liegenden kryptografischen Schlüsselpaars für CA-Zertifikate bestimmt die Sicherheit und Integrität der PKI. In diesem Abschnitt werden einige Best Practices für die Sicherung von Signaturschlüsseln von Zertifizierungsstellen aufgeführt.
Hardware Security Modules (HSM)
Sie können den CA-Dienst so konfigurieren, dass von Google verwaltete Schlüssel verwendet werden, die Cloud HSM zum Generieren, Speichern und Verwenden von Schlüsseln nutzen. Wenn Sie jedoch einen vorhandenen Cloud KMS-Schlüssel verwenden möchten, können Sie ihn bei der Einrichtung der Zertifizierungsstelle verwenden.
Weitere Informationen zu Cloud HSM finden Sie unter Cloud HSM.
Weitere Informationen zum Importieren eines kryptografischen Schlüssels in Cloud HSM oder Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.
Von Google verwaltete Schlüssel im Vergleich zu vom Kunden verwalteten Schlüsseln
Wenn Sie keine benutzerdefinierten Sicherheits- oder Betriebsanforderungen haben, die eine direkte Verwaltung von Schlüsseln außerhalb des CA-Dienstes erfordern, empfehlen wir Ihnen, von Google verwaltete Schlüssel zu verwenden. Von Google und von Google verwaltete Schlüssel bieten ein vereinfachtes und standardmäßig sicheres System zur Schlüsselgenerierung, -speicherung und -nutzung.
Von Google verwaltete und von Google verwaltete Schlüssel verwenden Cloud HSM und sind für keine andere Organisation zugänglich oder nutzbar. Zugriff und Verwendung von Cloud HSM-Signaturschlüsseln können über Cloud-Audit-Logs geprüft werden.
Weitere Informationen zu Lebenszyklusverwaltungsmodellen finden Sie unter Ressourcen verwalten.
Externe Zertifizierungsstellen importieren
Es ist nicht möglich, zuvor ausgestellte Zertifikate in den CA-Dienst zu importieren. Wir empfehlen, keine vorhandene externe Zertifizierungsstelle mit ausgestellten Zertifikaten in CA Service zu importieren.
Treuhänderische Schlüsselaufbewahrung
CA Service verwendet Cloud KMS und Cloud HSM, um Schlüssel vor Export und Extraktion zu schützen. Wenn Ihre Organisation eine Kopie ihrer CA-Schlüssel aufbewahren möchte, können Sie Schlüssel mithilfe von On-Premise-Tools generieren. Wenn Sie diese Schlüssel mit CA Service verwenden möchten, importieren Sie sie in Cloud KMS und Cloud HSM. Sie können die Schlüssel dann sicher verwahren und bis zur späteren Verwendung aufbewahren.
Informationen zum Importieren von Schlüsseln in Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.
Schlüsselgrößen und Algorithmen der Zertifizierungsstelle
Die Größe und die Algorithmen kryptografischer Schlüssel definieren den Typ und die Stärke des asymmetrischen Schlüsselpaars, das zum Signieren von Zertifikaten und CRLs (Certificate Revocation Lists) verwendet wird. Zertifizierungsstellen können relativ lange aktiv bleiben. Daher ist es wichtig, dass die Schlüssel stark genug sind, um während der gesamten Lebensdauer der Zertifizierungsstelle sicher zu sein.
Wenn Sie eine gut definierte PKI-Umgebung mit modernen Geräten haben, bietet der Elliptic Curve Digital Signature Algorithm (ECDSA) die beste Leistung und Sicherheit. In Organisationen mit einer Vielzahl von Systemen und Unsicherheiten hinsichtlich der Schlüsselunterstützung kann es ausreichen, RSA-basierte Schlüssel zu verwenden.
Es gibt auch andere Aspekte für CA-Signaturschlüssel, z. B. die Einhaltung von Zertifizierungen, die Kompatibilität mit anderen Systemen und die spezifischen Bedrohungsmodelle. Berücksichtigen Sie Ihren Anwendungsfall bei der Auswahl einer Schlüsselgröße und eines Algorithmus.
Unabhängig von der Lebensdauer der Zertifizierungsstelle, der Schlüsselgröße und dem Algorithmus empfehlen wir, einen Prozess für die regelmäßige Rotation von CA-Schlüsseln einzurichten.
Weitere Informationen zur Auswahl eines Algorithmus für Signaturschlüssel finden Sie unter Schlüsselalgorithmus auswählen.
Nächste Schritte
- CA-Pool erstellen
- Root-Zertifizierungsstelle erstellen
- Untergeordnete Zertifizierungsstelle erstellen
- Zertifikatsvorlage erstellen