Bonnes pratiques pour Certificate Authority Service
Cette page présente quelques-unes des bonnes pratiques qui peuvent vous aider à utiliser plus efficacement Certificate Authority Service.
Rôles et contrôle des accès
Identity and Access Management (IAM) vous permet d'attribuer des rôles aux utilisateurs. Les rôles sont des ensembles d'une ou de plusieurs autorisations. Les rôles dans IAM peuvent être de base, prédéfinis ou personnalisés.
Type de rôle IAM | Description |
---|---|
Standard | Inclut les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM. |
Prédéfini | Les rôles prédéfinis sont créés et gérés par Google. |
Personnalisé | Les rôles personnalisés sont définis par l'utilisateur et vous permettent de grouper une ou plusieurs autorisations compatibles pour répondre à vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés. |
Un individu ne doit pas se voir attribuer plusieurs rôles à la fois. De plus, toute personne occupant un rôle qui lui est assigné doit être correctement informée et formée sur ses responsabilités et ses pratiques de sécurité. Si vous souhaitez attribuer un ensemble varié d'autorisations à une personne, nous vous recommandons de créer un rôle personnalisé à l'aide d'IAM. Pour en savoir plus sur la création d'un rôle personnalisé, consultez Créer et gérer les rôles personnalisés.
Pour en savoir plus sur les autorisations et les rôles IAM prédéfinis, consultez la page Contrôle des accès avec IAM
Niveaux de service d'autorité de certification
Les niveaux sont définis pour le pool d'autorités de certification. Toutes les autorités de certification d'un pool d'autorités de certification se voient attribuer le même niveau. CA Service propose deux niveaux de service opérationnels pour les pools d'autorités de certification: DevOps et Enterprise. Ces deux niveaux offrent aux organisations un équilibre entre les performances et les fonctionnalités de gestion du cycle de vie en fonction des exigences opérationnelles.
- Nous vous recommandons de bien réfléchir à l'utilisation du niveau DevOps, car il ne permet pas la révocation de certificats.
- Pour les autorités de certification de niveau DevOps, les certificats émis ne sont pas stockés. Vous ne pouvez suivre les certificats qu'en examinant les journaux d'audit Cloud, s'ils sont activés. Nous vous recommandons d'utiliser le niveau DevOps uniquement pour les certificats de courte durée qui n'ont pas besoin d'être révoqués, tels que les certificats utilisés avec des microservices, des conteneurs, des certificats de session, des machines virtuelles non persistantes et d'autres besoins isolés.
- Une infrastructure à clé publique (PKI) peut être constituée d'une combinaison d'autorités de certification aux niveaux DevOps et Enterprise afin de répondre à différents besoins.
- Dans la plupart des cas, nous vous recommandons d'utiliser le niveau Entreprise pour créer des pools d'autorités de certification qui délivrent des certificats à d'autres autorités de certification et entités finales.
Pour en savoir plus sur les niveaux de service CA, consultez Sélectionner les niveaux d'opération.
Pour en savoir plus sur l'activation de Cloud Audit Logs, consultez la page Configurer les journaux d'audit pour l'accès aux données.
Clés de signature d'autorités de certification
Le contrôle approprié de la paire de clé cryptographique sous-jacente pour les certificats CA détermine la sécurité et l'intégrité offertes par l'ICP. Cette section liste quelques bonnes pratiques pour sécuriser les clés de signature d'autorité de certification.
Modules de sécurité matérielle (HSM)
Vous pouvez configurer CA Service pour utiliser des clés appartenant ou gérées à Google qui utilisent Cloud HSM pour la génération, le stockage et l'utilisation de clés Toutefois, si vous souhaitez utiliser une clé Cloud KMS existante, vous pouvez le faire lors de la configuration de l'autorité de certification.
Pour plus d'informations sur Cloud HSM, consultez la page Cloud HSM.
Pour en savoir plus sur l'importation d'une clé cryptographique dans Cloud HSM ou Cloud KMS, consultez la section Importer une clé dans Cloud KMS.
Clés gérées par Google ou clés gérées par le client
Si vous n'avez pas d'exigences de sécurité ou opérationnelles personnalisées des clés en dehors du service CA, nous vous recommandons vous utilisez des clés appartenant à Google et gérées par Google. Les clés détenues et gérées par Google offrent un accès sécurisé par défaut pour la génération de clés, le stockage et l'utilisation.
Les clés détenues ou gérées par Google utilisent Cloud HSM et ne sont ni accessibles, ni utilisables par une autre organisation. L'accès aux clés de signature Cloud HSM et leur utilisation sont vérifiables via Cloud Audit Logs.
Pour en savoir plus sur les modèles de gestion du cycle de vie, consultez Gérer les ressources.
Importer des autorités de certification externes
Il est impossible d'importer des certificats précédemment émis dans CA Service. Nous vous recommandons de ne pas importer une autorité de certification externe existante avec des certificats émis dans le service CA.
Séquestre de clé
CA Service utilise Cloud KMS et Cloud HSM pour protéger les clés contre l'exportation et l'extraction. Si votre organisation souhaite conserver une copie de ses clés d'autorité de certification, vous pouvez générer des clés à l'aide d'outils sur site. Pour utiliser ces clés avec le service CA, importez les clés dans Cloud KMS et Cloud HSM. Vous pouvez ensuite mettre les clés sous séquestre en toute sécurité et en conserver la possession jusqu'à ce que vous en ayez besoin à l'avenir.
Pour plus d'informations sur l'importation de clés dans Cloud KMS, consultez la page Importer une clé dans Cloud KMS.
Tailles de clés et algorithmes d'autorité de certification
Les tailles de clés cryptographiques et les algorithmes définissent le type et le niveau de sécurité de la paire de clés asymétriques utilisée pour signer les certificats et les listes de révocation de certificats (LRC). Les autorités de certification peuvent avoir une durée de vie relativement longue. Il est donc important que les clés soient suffisamment robustes pour être sécurisées tout au long de la durée de vie prévue de l'autorité de certification.
Si vous disposez d'un environnement PKI bien défini avec des appareils modernes, l'algorithme de signature numérique à courbe elliptique (ECDSA) offre les meilleures performances et la meilleure sécurité. Dans les organisations qui disposent d'un large éventail de systèmes et qui ne savent pas si les clés sont compatibles, il peut suffire d'utiliser des clés RSA.
D'autres considérations doivent également être prises en compte pour les clés de signature de l'autorité de certification, telles que la conformité aux certifications, la compatibilité avec d'autres systèmes et les modèles de menaces spécifiques. Tenez compte de votre cas d'utilisation lorsque vous choisissez une taille de clé et un algorithme.
Indépendamment de la durée de vie de l'autorité de certification, ou de la taille de clé et de l'algorithme, nous vous recommandons de mettre en place un processus de rotation régulière des clés d'autorité de certification.
Pour en savoir plus sur le choix d'un algorithme pour les clés de signature, consultez Choisissez un algorithme de clé.
Étape suivante
- Créer un pool d'autorités de certification
- Créer une autorité de certification racine
- Créer une autorité de certification subordonnée
- Créer un modèle de certificat