Bonnes pratiques concernant Certificate Authority Service
Cette page présente certaines bonnes pratiques qui peuvent vous aider à utiliser Certificate Authority Service plus efficacement.
Rôles et contrôle des accès
Avec Identity and Access Management (IAM), vous pouvez attribuer des rôles aux utilisateurs. Les rôles sont des ensembles constitués d'une ou plusieurs autorisations. Les rôles dans IAM peuvent être de base, prédéfinis ou personnalisés.
| Type de rôle IAM | Description |
|---|---|
| De base | Inclut les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM. |
| Prédéfini | Les rôles prédéfinis sont créés et gérés par Google. |
| Personnalisé | Les rôles personnalisés sont définis par l'utilisateur et vous permettent de grouper une ou plusieurs autorisations compatibles pour répondre à vos besoins spécifiques. Pour en savoir plus, consultez Comprendre les rôles personnalisés. |
Les individus ne doivent pas se voir attribuer plusieurs rôles à la fois. De plus, chaque personne occupant un rôle doit être correctement informée et formée sur ses responsabilités et ses pratiques de sécurité. Si vous souhaitez attribuer un ensemble varié d'autorisations à un utilisateur, nous vous recommandons de créer un rôle personnalisé à l'aide d'IAM. Pour en savoir plus sur la création d'un rôle personnalisé, consultez la section Créer et gérer les rôles personnalisés.
Pour en savoir plus sur les autorisations et les rôles IAM prédéfinis, consultez la page Contrôle des accès avec IAM.
Niveaux de service CA
Les niveaux sont définis pour le pool d'autorités de certification (CA). Toutes les autorités de certification d'un pool d'autorités de certification sont attribuées au même niveau. CA Service propose deux niveaux de service opérationnels pour les pools d'autorités de certification: DevOps et Enterprise. Ces deux niveaux offrent aux organisations un équilibre entre les performances et les fonctionnalités de gestion du cycle de vie en fonction des exigences opérationnelles.
- Nous vous recommandons de bien réfléchir à l'utilisation du niveau DevOps, car il n'est pas compatible avec la révocation de certificats.
- Pour les autorités de certification du niveau DevOps, les certificats émis ne sont pas stockés. Vous ne pouvez suivre les certificats qu'en consultant les journaux d'audit Cloud, le cas échéant. Nous vous recommandons de n'utiliser le niveau DevOps que pour les certificats de courte durée qui n'ont pas besoin d'être révoqués, tels que les certificats utilisés avec les microservices, les conteneurs, les certificats de session, les machines virtuelles non persistantes et d'autres besoins isolés.
- Une infrastructure à clé publique (PKI) peut consister en une combinaison d'autorités de certification dans les niveaux DevOps et Enterprise pour répondre à divers besoins.
- Dans la plupart des cas, nous vous recommandons d'utiliser le niveau Enterprise pour créer des pools d'autorités de certification qui émettent des certificats à d'autres autorités de certification et entités finales.
Pour en savoir plus sur les niveaux de service de l'autorité de certification, consultez la section Sélectionner les niveaux d'opération.
Pour savoir comment activer Cloud Audit Logs, consultez la section Configurer les journaux d'audit pour l'accès aux données.
Clés de signature de l'autorité de certification
Le contrôle approprié de la paire de clé cryptographique sous-jacente pour les certificats d'autorité de certification détermine la sécurité et l'intégrité offertes par l'ICP. Cette section présente quelques bonnes pratiques pour sécuriser les clés de signature de l'autorité de certification.
Modules de sécurité matérielle (HSM)
Vous pouvez configurer le service de certification pour qu'il utilise des clés appartenant à Google et gérées par Google qui utilisent Cloud HSM pour générer, stocker et utiliser des clés. Toutefois, si vous souhaitez utiliser une clé Cloud KMS existante, vous pouvez le faire lors de la configuration de l'autorité de certification.
Pour en savoir plus sur Cloud HSM, consultez Cloud HSM.
Pour en savoir plus sur l'importation d'une clé cryptographique dans Cloud HSM ou Cloud KMS, consultez Importer une clé dans Cloud KMS.
Clés gérées par Google et clés gérées par le client
Si vous n'avez pas d'exigences de sécurité ou opérationnelles personnalisées qui nécessitent une gestion directe des clés en dehors du service d'autorité de certification, nous vous recommandons d'utiliser des clés appartenant à Google et gérées par Google. Les clés détenues et gérées par Google fournissent un système de génération, de stockage et d'utilisation des clés simplifié et sécurisé par défaut.
Les clés détenues et gérées par Google utilisent Cloud HSM et ne sont ni accessibles ni utilisables par aucune autre organisation. L'accès et l'utilisation des clés de signature Cloud HSM peuvent être audités via Cloud Audit Logs.
Pour en savoir plus sur les modèles de gestion du cycle de vie, consultez Gérer les ressources.
Importer des autorités de certification externes
Il n'est pas possible d'importer des certificats précédemment émis dans le service CA. Nous vous recommandons de ne pas importer une autorité de certification externe existante avec des certificats émis dans le service CA.
Séquestre de clé
Le service d'autorité de certification utilise Cloud KMS et Cloud HSM pour protéger les clés contre l'exportation et l'extraction. Si votre organisation souhaite conserver une copie de ses clés d'autorité de certification, vous pouvez générer des clés à l'aide d'outils sur site. Pour les utiliser avec le service d'autorité de certification, importez-les dans Cloud KMS et Cloud HSM. Vous pouvez ensuite placer les clés en séquestre en toute sécurité et les conserver jusqu'à ce que vous en ayez besoin.
Pour en savoir plus sur l'importation de clés dans Cloud KMS, consultez Importer une clé dans Cloud KMS.
Tailles et algorithmes de clé de l'autorité de certification
Les tailles et les algorithmes de clé cryptographique définissent le type et la robustesse de la paire de clés asymétriques utilisée pour signer les certificats et les listes de révocation de certificats (LRC). Les autorités de certification peuvent être utilisées pendant une période relativement longue. Il est donc important que les clés soient suffisamment robustes pour être sécurisées tout au long de la durée de vie prévue de l'autorité de certification.
Si vous disposez d'un environnement PKI bien défini avec des appareils modernes, l'algorithme de signature numérique à courbe elliptique (ECDSA) offre les meilleures performances et la meilleure sécurité. Dans les organisations qui disposent d'un large éventail de systèmes et qui ne savent pas si les clés sont compatibles, il peut suffire d'utiliser des clés RSA.
D'autres considérations doivent également être prises en compte pour les clés de signature de l'autorité de certification, telles que la conformité aux certifications, la compatibilité avec d'autres systèmes et les modèles de menaces spécifiques. Tenez compte de votre cas d'utilisation lorsque vous choisissez une taille et un algorithme de clé.
Quelle que soit la durée de vie de l'autorité de certification, ou la taille et l'algorithme de la clé, nous vous recommandons de configurer un processus de rotation régulière des clés de l'autorité de certification.
Pour en savoir plus sur le choix d'un algorithme pour les clés de signature, consultez la section Choisir un algorithme de clé.
Étape suivante
- Créer un pool d'autorités de certification
- Créer une autorité de certification racine
- Créer une autorité de certification secondaire
- Créer un modèle de certificat