Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Bonnes pratiques pour Certificate Authority Service

Cette page présente quelques-unes des bonnes pratiques qui peuvent vous aider à utiliser plus efficacement Certificate Authority Service.

Rôles et contrôle des accès

Identity and Access Management (IAM) vous permet d'attribuer des rôles aux utilisateurs. Les rôles sont un ensemble d'une ou de plusieurs autorisations. Dans IAM, les rôles peuvent être de base, prédéfinis ou personnalisés.

Type de rôle IAM	Description
De base	Inclut les rôles Propriétaire, Éditeur et Lecteur qui existaient avant l'introduction d'IAM.
Prédéfini	Les rôles prédéfinis sont créés et gérés par Google.
Personnalisé	Les rôles personnalisés sont définis par l'utilisateur et permettent de regrouper une ou plusieurs autorisations compatibles pour répondre à vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés.

Les utilisateurs ne doivent pas se voir attribuer plus d'un rôle à la fois. De plus, tous les utilisateurs disposant d'un rôle attribué doivent être correctement informés et formés sur leurs responsabilités et les pratiques de sécurité. Si vous souhaitez attribuer un ensemble d'autorisations variées à un utilisateur, nous vous recommandons de créer un rôle personnalisé à l'aide d'IAM. Pour savoir comment créer un rôle personnalisé, consultez la page Créer et gérer des rôles personnalisés.

Pour en savoir plus sur les autorisations et les rôles IAM prédéfinis, consultez la page Contrôle des accès avec IAM.

Niveaux de service CA

Les niveaux sont définis pour le pool d'autorités de certification (CA). Toutes les autorités de certification d'un pool d'autorités de certification se voient attribuer le même niveau. CA Service propose deux niveaux de service opérationnels pour les pools d'autorités de certification : DevOps et Enterprise. Ces deux niveaux offrent aux organisations un équilibre entre les performances et les fonctionnalités de gestion du cycle de vie en fonction des exigences opérationnelles.

Nous vous recommandons d'envisager soigneusement l'utilisation du niveau DevOps, car il ne prend pas en charge la révocation des certificats.
Pour les autorités de certification du niveau DevOps, les certificats émis ne sont pas stockés. Vous ne pouvez suivre les certificats qu'en examinant les journaux Cloud Audit Logs, s'ils sont activés. Nous vous recommandons d'utiliser le niveau DevOps uniquement pour les certificats à courte durée de vie qui n'ont pas besoin d'être révoqués, tels que les certificats utilisés avec des microservices, des conteneurs, des certificats de session, des machines virtuelles non persistantes et d'autres besoins isolés.
Une infrastructure à clé publique (PKI) peut être constituée d'une combinaison d'autorités de certification des niveaux DevOps et Enterprise pour répondre à divers besoins.
Dans la plupart des cas, nous vous recommandons d'utiliser le niveau Enterprise pour créer des pools d'autorités de certification qui émettent des certificats pour d'autres autorités de certification et des entités finales.

Pour en savoir plus sur les niveaux de service CA, consultez la page Sélectionner les niveaux de service.

Pour savoir comment activer Cloud Audit Logs, consultez la page Configurer les journaux d'audit pour l'accès aux données.

Clés de signature CA

Le contrôle approprié de la paire de clé cryptographique sous-jacente pour les certificats CA détermine la sécurité et l'intégrité offertes par l'infrastructure à clé publique. Cette section présente quelques bonnes pratiques pour sécuriser les clés de signature CA.

Modules de sécurité matérielle (HSM)

Vous pouvez configurer CA Service pour qu'il utilise des appartenant à Google et gérées par Google fournies par Google Cloud qui utilisent Cloud HSM pour générer, stocker et utiliser des clés. Toutefois, si vous souhaitez utiliser une clé Cloud KMS existante, vous pouvez l'utiliser lors de la configuration de l'autorité de certification.

Pour en savoir plus sur Cloud HSM, consultez la page Cloud HSM.

Pour en savoir plus sur l'importation d'une clé cryptographique dans Cloud HSM ou Cloud KMS, consultez la page Importer une clé dans Cloud KMS.

Clés gérées par Google ou par le client

Si vous n'avez pas d'exigence de sécurité ou opérationnelle personnalisée nécessitant une gestion directe des clés en dehors de CA Service, nous vous recommandons d'utiliser appartenant à Google et gérées par Google fournies par Google Cloud. appartenant à Google et gérées par Google fournies par Google Cloud offrent un système simplifié et sécurisé par défaut pour la génération, le stockage et l'utilisation des clés.

clés de chiffrement appartenant à Google et gérées par Google fournies par Google Cloud utilisent Cloud HSM et ne sont accessibles ni utilisables par aucune autre organisation. L'accès aux clés de signature Cloud HSM et leur utilisation sont auditables via Cloud Audit Logs.

Pour en savoir plus sur les modèles de gestion du cycle de vie, consultez la page Gérer les ressources.

Importer des autorités de certification externes

Il n'est pas possible d'importer des certificats précédemment émis dans CA Service. Nous vous recommandons de ne pas importer d'autorité de certification externe existante avec des certificats émis dans CA Service.

Séquestre de clé

CA Service utilise Cloud KMS et Cloud HSM pour protéger les clés contre l'exportation et l'extraction. Si votre organisation souhaite conserver une copie de ses clés CA, vous pouvez générer des clés à l'aide d'outils sur site. Pour utiliser ces clés avec CA Service, importez-les dans Cloud KMS et Cloud HSM. Vous pouvez ensuite les mettre en séquestre en toute sécurité et les conserver jusqu'à ce que vous en ayez besoin.

Pour savoir comment importer des clés dans Cloud KMS, consultez la page Importer une clé dans Cloud KMS.

Tailles et algorithmes des clés CA

Les tailles et les algorithmes des clés cryptographiques définissent le type et la force de la paire de clés asymétriques utilisée pour signer les certificats et les listes de révocation de certificats (LRC). Les autorités de certification peuvent exister pendant une période relativement longue. Il est donc important que les clés soient suffisamment robustes pour être sécurisées tout au long de la durée de vie prévue de l'autorité de certification.

Si vous disposez d'un environnement d'infrastructure à clé publique bien défini avec des appareils modernes, l'algorithme de signature numérique à courbe elliptique (ECDSA) offre les meilleures performances et la meilleure sécurité. Dans les organisations disposant d'un large éventail de systèmes et d'une incertitude quant à la prise en charge des clés, il peut être suffisant d'utiliser des clés basées sur RSA.

D'autres considérations s'appliquent également aux clés de signature CA, telles que la conformité aux certifications, la compatibilité avec d'autres systèmes et les modèles de menaces spécifiques. Tenez compte de votre cas d'utilisation lorsque vous choisissez une taille et un algorithme de clé.

Quelle que soit la durée de vie de l'autorité de certification, ou la taille et l'algorithme de la clé, nous vous recommandons de configurer un processus de rotation régulière des clés CA.

Pour en savoir plus sur le choix d'un algorithme pour les clés de signature, consultez la page Choisir un algorithme de clé.