Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Best Practices für Certificate Authority Service

Auf dieser Seite finden Sie einige Best Practices, die Ihnen dabei helfen können, Certificate Authority Service noch effektiver zu nutzen.

Rollen und Zugriffssteuerung

Mit Identity and Access Management (IAM) können Sie Nutzern Rollen zuweisen. Rollen sind ein Bündel aus einer oder mehreren Berechtigungen. Rollen in IAM können einfach, vordefiniert oder benutzerdefiniert sein.

IAM-Rollentyp	Beschreibung
Einfach	Dazu gehören die Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“, die es schon vor der Einführung von IAM gab.
Vordefiniert	Vordefinierte Rollen werden von Google erstellt und verwaltet.
Benutzerdefiniert	Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen die Zusammenstellung von einer oder mehreren unterstützten Berechtigungen, je nach Ihren speziellen Anforderungen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen.

Einzelpersonen sollte zu einem bestimmten Zeitpunkt nicht mehr als eine Rolle zugewiesen werden. Außerdem sollte jeder, der eine zugewiesene Rolle innehat, ordnungsgemäß über seine Verantwortlichkeiten und Sicherheitsmaßnahmen informiert und geschult werden. Wenn Sie einer Person verschiedene Berechtigungen zuweisen möchten, empfehlen wir, mit IAM eine benutzerdefinierte Rolle zu erstellen. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Informationen zu Berechtigungen und vordefinierten IAM-Rollen finden Sie unter Zugriffssteuerung mit IAM.

CA Service-Stufen

Stufen werden für den Zertifizierungsstellen-Pool (CA) festgelegt. Allen Zertifizierungsstellen in einem Zertifizierungspool wird dieselbe Stufe zugewiesen. Der CA-Dienst bietet zwei Betriebs-Dienststufen für CA-Pools: DevOps und Enterprise. Diese beiden Stufen bieten Organisationen ein ausgewogenes Verhältnis zwischen Leistungs- und Lebenszyklusverwaltungsfunktionen basierend auf den betrieblichen Anforderungen.

Wir empfehlen, die Verwendung der DevOps-Stufe sorgfältig zu prüfen, da sie den Zertifikatsentzug nicht unterstützt.
Für Zertifizierungsstellen im DevOps-Tier werden ausgestellte Zertifikate nicht gespeichert. Sie können Zertifikate nur nachverfolgen, indem Sie die Cloud-Audit-Logs prüfen, sofern diese aktiviert sind. Wir empfehlen, den DevOps-Tier nur für kurzlebige Zertifikate zu verwenden, die nicht widerrufen werden müssen, z. B. Zertifikate, die mit Microservices, Containern, Sitzungszertifikaten, nicht persistenten virtuellen Maschinen und anderen isolierten Anforderungen verwendet werden.
Eine Public-Key-Infrastruktur (PKI) kann aus einer Kombination von CAs in den DevOps- und Enterprise-Stufen bestehen, um verschiedenen Anforderungen gerecht zu werden.
In den meisten Fällen empfehlen wir, CA-Pools zu erstellen, die Zertifikate für andere Zertifizierungsstellen und Endentitäten ausstellen.

Weitere Informationen zu den Dienststufen für Zertifizierungsstellen finden Sie unter Betriebsstufen auswählen.

Informationen zum Aktivieren von Cloud-Audit-Logs finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.

CA-Signaturschlüssel

Die ordnungsgemäße Steuerung des zugrunde liegenden kryptografischen Schlüsselpaars für CA-Zertifikate bestimmt die Sicherheit und Integrität der PKI. In diesem Abschnitt werden einige Best Practices für die Sicherung von CA-Signaturschlüsseln aufgeführt.

Hardwaresicherheitsmodule (HSM)

Sie können den CA Service so konfigurieren, dass er Verschlüsselungsschlüssel verwendet, die auf Google Cloud basieren und Cloud HSM zum Generieren, Speichern und Verwenden von Schlüsseln nutzen. Wenn Sie jedoch einen vorhandenen Cloud KMS-Schlüssel verwenden möchten, können Sie den Schlüssel bei der Einrichtung der CA verwenden.

Weitere Informationen zu Cloud HSM finden Sie unter Cloud HSM.

Weitere Informationen zum Importieren eines kryptografischen Schlüssels in Cloud HSM oder Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

Von Google verwaltete und kundenverwaltete Schlüssel im Vergleich

Wenn Sie keine benutzerdefinierten Sicherheits- oder Betriebsanforderungen haben, die eine direkte Verwaltung von Schlüsseln außerhalb von CA Service erfordern, empfehlen wir, Google-eigene und von Google verwaltete Verschlüsselungsschlüssel zu verwenden. Google-eigene und von Google verwaltete Verschlüsselungsschlüssel bieten ein vereinfachtes und standardmäßig sicheres System für die Generierung, Speicherung und Nutzung von Schlüsseln.

Verschlüsselungsschlüssel, die auf Google Cloud basieren, verwenden Cloud HSM und sind für keine andere Organisation zugänglich oder nutzbar. Der Zugriff auf und die Verwendung von Cloud HSM-Signaturschlüsseln kann über Cloud-Audit-Logs geprüft werden.

Weitere Informationen zu Modellen für die Lebenszyklusverwaltung finden Sie unter Ressourcen verwalten.

Externe CAs importieren

Es ist nicht möglich, zuvor ausgestellte Zertifikate in den CA-Dienst zu importieren. Wir empfehlen, keine vorhandene externe CA mit ausgestellten Zertifikaten in CA Service zu importieren.

Treuhänderische Schlüsselaufbewahrung

CA Service verwendet Cloud KMS und Cloud HSM, um Schlüssel vor Export und Extraktion zu schützen. Wenn Ihre Organisation eine Kopie ihrer Zertifizierungsstellen-Schlüssel behalten möchte, können Sie Schlüssel mit lokalen Tools generieren. Wenn Sie diese Schlüssel mit CA Service verwenden möchten, importieren Sie sie in Cloud KMS und Cloud HSM. Sie können die Schlüssel dann sicher hinterlegen und bis zur zukünftigen Verwendung behalten.

Informationen zum Importieren von Schlüsseln in Cloud KMS finden Sie unter Schlüssel in Cloud KMS importieren.

Schlüsselgrößen und Algorithmen der CA

Kryptografische Schlüsselgrößen und Algorithmen definieren den Typ und die Stärke des asymmetrischen Schlüsselpaars, das zum Signieren von Zertifikaten und Sperrlisten für Zertifikate (Certificate Revocation Lists, CRLs) verwendet wird. Zertifizierungsstellen können relativ lange aktiv sein. Daher ist es wichtig, dass die Schlüssel stark genug sind, um während der gesamten Lebensdauer der Zertifizierungsstelle sicher zu sein.

Wenn Sie eine gut definierte PKI-Umgebung mit modernen Geräten haben, bietet der Elliptic Curve Digital Signature Algorithm (ECDSA) die beste Leistung und Sicherheit. In Organisationen mit einer Vielzahl von Systemen und Unsicherheit bezüglich der Schlüsselunterstützung kann es ausreichen, RSA-basierte Schlüssel zu verwenden.

Es gibt auch andere Aspekte für CA-Signierschlüssel, z. B. die Einhaltung von Zertifizierungen, die Kompatibilität mit anderen Systemen und die spezifischen Bedrohungsmodelle. Berücksichtigen Sie Ihren Anwendungsfall bei der Auswahl einer Schlüsselgröße und eines Algorithmus.

Unabhängig von der Lebensdauer der Zertifizierungsstelle oder der Schlüsselgröße und dem Algorithmus empfehlen wir, einen Prozess für die regelmäßige Rotation von CA-Schlüsseln einzurichten.

Weitere Informationen zum Auswählen eines Algorithmus für Signaturschlüssel finden Sie unter Schlüsselalgorithmus auswählen.