Best Practices für Certificate Authority Service

Auf dieser Seite werden einige der Best Practices beschrieben, mit denen Sie Certificate Authority Service effektiver nutzen können.

Rollen und Zugriffssteuerung

Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie Nutzern Rollen zuweisen. Rollen enthalten eine oder mehrere Berechtigungen. Rollen in IAM können entweder einfach, vordefiniert oder benutzerdefiniert sein.

IAM-Rollentyp	Beschreibung
Einfach	Umfasst die Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“, die es schon vor der Einführung von IAM gab.
Vordefiniert	Vordefinierte Rollen werden von Google erstellt und verwaltet.
Benutzerdefiniert	Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen es Ihnen, eine oder mehrere unterstützte Berechtigungen zu bündeln, um Ihre spezifischen Anforderungen zu erfüllen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen.

Einzelpersonen sollten immer nur eine Rolle zugewiesen werden. Darüber hinaus sollten alle Personen, die eine zugewiesene Rolle innehaben, ordnungsgemäß über ihre Verantwortlichkeiten und Sicherheitspraktiken informiert und geschult werden. Wenn Sie einer Person verschiedene Berechtigungen zuweisen möchten, empfehlen wir Ihnen, mit IAM eine benutzerdefinierte Rolle zu erstellen. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Informationen zu Berechtigungen und vordefinierten IAM-Rollen finden Sie unter Zugriffssteuerung mit IAM.

CA-Dienststufen

Für den Zertifizierungsstellenpool werden Stufen festgelegt. Allen Zertifizierungsstellen in einem Zertifizierungsstellenpool wird dieselbe Stufe zugewiesen. CA Service bietet zwei operative Dienststufen für CA-Pools: DevOps und Enterprise. Diese beiden Stufen bieten Organisationen ein ausgewogenes Verhältnis zwischen Leistungs- und Lebenszyklusverwaltungsfunktionen basierend auf den betrieblichen Anforderungen.

Wir empfehlen Ihnen, die DevOps-Stufe sorgfältig zu verwenden, da sie den Widerruf von Zertifikaten nicht unterstützt.
Für CAs auf der DevOps-Stufe werden ausgestellte Zertifikate nicht gespeichert. Sie können Zertifikate nur in den Cloud-Audit-Logs verfolgen, wenn diese aktiviert sind. Wir empfehlen, die DevOps-Stufe nur für kurzlebige Zertifikate zu verwenden, die nicht widerrufen werden müssen, z. B. Zertifikate, die für Mikrodienste, Container, Sitzungszertifikate, nicht persistente virtuelle Maschinen und andere isolierte Anforderungen verwendet werden.
Eine Public-Key-Infrastruktur (PKI) kann aus einer Kombination von Zertifizierungsstellen in DevOps- und Enterprise-Stufen bestehen, um verschiedene Anforderungen zu erfüllen.
In den meisten Fällen empfehlen wir die Verwendung der Enterprise-Stufe, um CA-Pools zu erstellen, die Zertifikate für andere CAs und Endentitäten ausstellen.

Weitere Informationen zu CA-Dienststufen finden Sie unter Vorgangsstufen auswählen.

Informationen zum Aktivieren von Cloud-Audit-Logs finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.

CA-Signaturschlüssel

Die ordnungsgemäße Kontrolle des zugrunde liegenden kryptografischen Schlüsselpaars für CA-Zertifikate bestimmt die durch die PKI gebotene Sicherheit und Integrität. In diesem Abschnitt werden einige Best Practices zum Sichern von CA-Signaturschlüsseln aufgeführt.

Hardware-Sicherheitsmodule (HSM)

Sie können CA Service so konfigurieren, dass von Google verwaltete Schlüssel verwendet werden, die Cloud HSM zum Generieren, Speichern und Verwenden von Schlüsseln verwenden. Wenn Sie jedoch einen vorhandenen Cloud KMS-Schlüssel verwenden möchten, können Sie den Schlüssel bei der Einrichtung der Zertifizierungsstelle nutzen.

Weitere Informationen zu Cloud HSM finden Sie unter Cloud HSM.

Weitere Informationen zum Importieren eines kryptografischen Schlüssels in Cloud HSM oder Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

Von Google und vom Kunden verwaltete Schlüssel im Vergleich

Wenn Sie keine benutzerdefinierten Sicherheits- oder Betriebsanforderungen haben, die eine direkte Verwaltung von Schlüsseln außerhalb des CA Service erfordern, empfehlen wir die Verwendung von von Google verwalteten Schlüsseln. Von Google verwaltete Schlüssel bieten ein vereinfachtes und standardmäßig sicheres System zur Schlüsselgenerierung, -speicherung und -nutzung.

Von Google verwaltete Schlüssel verwenden Cloud HSM und sind für keine andere Organisation zugänglich und können nicht verwendet werden. Der Zugriff auf und die Verwendung von Cloud HSM-Signaturschlüsseln sind über Cloud-Audit-Logs überprüfbar.

Weitere Informationen zu Lebenszyklus-Verwaltungsmodellen finden Sie unter Ressourcen verwalten.

Externe Zertifizierungsstellen importieren

Es ist nicht möglich, zuvor ausgestellte Zertifikate in den CA-Dienst zu importieren. Wir empfehlen, keine vorhandene externe Zertifizierungsstelle mit ausgestellten Zertifikaten in CA Service zu importieren.

Schlüssel zurückgehalten

CA Service verwendet Cloud KMS und Cloud HSM, um Schlüssel vor Export und Extraktion zu schützen. Wenn Ihre Organisation eine Kopie ihrer CA-Schlüssel behalten möchte, können Sie Schlüssel mit lokalen Tools generieren. Importieren Sie die Schlüssel in Cloud KMS und Cloud HSM, um diese Schlüssel mit dem CA-Dienst zu verwenden. Sie können die Schlüssel sicher treuhänderisch hinterlegen und sie aufbewahren, bis sie in Zukunft benötigt werden.

Informationen zum Importieren von Schlüsseln in Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

CA-Schlüsselgrößen und -algorithmen

Kryptografische Schlüsselgrößen und Algorithmen definieren Typ und Stärke des asymmetrischen Schlüsselpaars, das zum Signieren von Zertifikaten und Zertifikatssperrlisten verwendet wird. Zertifizierungsstellen können relativ lange existieren. Daher ist es wichtig, dass die Schlüssel stark genug sind, um für die gesamte vorgesehene Lebensdauer der Zertifizierungsstelle sicher zu sein.

Wenn Sie mit modernen Geräten eine klar definierte PKI-Umgebung haben, bietet der Elliptic Curve Digital Signature Algorithm (ECDSA) die beste Leistung und Sicherheit. In Organisationen mit einer Vielzahl von Systemen und Unsicherheit bezüglich der Schlüsselunterstützung kann es ausreichend sein, RSA-basierte Schlüssel zu verwenden.

Bei CA-Signaturschlüsseln sind noch weitere Aspekte zu beachten, z. B. die Einhaltung von Zertifizierungen, die Kompatibilität mit anderen Systemen und die spezifischen Bedrohungsmodelle. Berücksichtigen Sie bei der Auswahl einer Schlüsselgröße und eines Algorithmus Ihren Anwendungsfall.

Unabhängig von der Lebensdauer der Zertifizierungsstelle oder der Schlüsselgröße und dem Algorithmus empfehlen wir, einen Prozess für die regelmäßige Rotation von CA-Schlüsseln einzurichten.

Weitere Informationen zur Auswahl eines Algorithmus für die Signaturschlüssel finden Sie unter Schlüsselalgorithmus auswählen.