Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Praktik terbaik untuk Certificate Authority Service

Halaman ini menguraikan beberapa praktik terbaik yang dapat membantu Anda menggunakan Certificate Authority Service secara lebih efektif.

Peran dan kontrol akses

Dengan menggunakan Identity and Access Management (IAM), Anda dapat memberikan peran kepada pengguna. Peran adalah paket berisi satu atau beberapa izin. Peran di IAM dapat berupa peran dasar, bawaan, atau kustom.

Jenis peran IAM	Deskripsi
Dasar	Mencakup peran Pemilik, Editor, dan Viewer yang ada sebelum pengenalan IAM.
Bawaan	Peran bawaan dibuat dan dikelola oleh Google.
Kustom	Peran kustom ditetapkan oleh pengguna, dan memungkinkan Anda untuk menggabungkan satu atau beberapa izin yang didukung untuk memenuhi kebutuhan spesifik Anda. Untuk mengetahui informasi selengkapnya, lihat Memahami peran kustom.

Setiap individu tidak boleh diberi lebih dari satu peran pada waktu tertentu. Selain itu, semua orang yang memegang peran yang ditetapkan harus diberi pengarahan dan dilatih dengan benar mengenai tanggung jawab dan praktik keamanan mereka. Jika Anda ingin menetapkan berbagai izin kepada seseorang, sebaiknya buat peran kustom menggunakan IAM. Untuk mengetahui informasi tentang cara membuat peran kustom, lihat Membuat dan mengelola peran kustom.

Untuk mengetahui informasi tentang izin dan peran IAM bawaan, lihat Kontrol akses dengan IAM.

Tingkat CA Service

Tingkat ditetapkan untuk kumpulan certificate authority (CA). Semua CA dalam kumpulan CA diberi tingkat yang sama. CA Service menyediakan dua tingkat layanan operasional untuk kumpulan CA: DevOps dan Enterprise. Kedua tingkat ini memberi organisasi keseimbangan antara performa dan kemampuan pengelolaan siklus proses berdasarkan persyaratan operasional.

Sebaiknya pertimbangkan dengan cermat penggunaan tingkat DevOps karena tidak mendukung pencabutan sertifikat.
Untuk CA di tingkat DevOps, sertifikat yang diterbitkan tidak disimpan. Anda hanya dapat melacak sertifikat dengan meninjau Cloud Audit Logs, jika diaktifkan. Sebaiknya gunakan tingkat DevOps hanya untuk sertifikat berjangka pendek yang tidak perlu dicabut, seperti sertifikat yang digunakan dengan layanan mikro, container, sertifikat sesi, mesin virtual non-persisten, dan kebutuhan terisolasi lainnya.
Infrastruktur Kunci Publik (PKI) dapat terdiri dari kombinasi CA di tingkat DevOps dan Enterprise untuk memenuhi berbagai kebutuhan.
Dalam sebagian besar kasus, sebaiknya gunakan tingkat Enterprise untuk membuat kumpulan CA yang menerbitkan sertifikat ke CA dan entitas akhir lainnya.

Untuk mengetahui informasi selengkapnya tentang tingkat CA Service, lihat Memilih tingkat operasi.

Untuk mengetahui informasi tentang cara mengaktifkan Cloud Audit Logs, lihat Mengonfigurasi log audit Akses Data.

Kunci penandatanganan CA

Kontrol yang tepat atas pasangan kunci kriptografis yang mendasarinya untuk sertifikat CA menentukan keamanan dan integritas yang diberikan oleh PKI. Bagian ini mencantumkan beberapa praktik terbaik untuk mengamankan kunci penandatanganan CA.

Modul Keamanan Hardware (HSM)

Anda dapat mengonfigurasi CA Service untuk menggunakan yang dimiliki dan dikelola Googleyang didukung Google Cloud yang menggunakan Cloud HSM untuk membuat, menyimpan, dan menggunakan kunci. Namun, jika ingin menggunakan kunci Cloud KMS yang ada, Anda dapat menggunakan kunci tersebut selama penyiapan CA.

Untuk mengetahui informasi selengkapnya tentang Cloud HSM, lihat Cloud HSM.

Untuk mengetahui informasi selengkapnya tentang cara mengimpor kunci kriptografis ke Cloud HSM atau Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Kunci yang dikelola Google versus kunci yang dikelola pelanggan

Jika Anda tidak memiliki persyaratan operasional atau keamanan kustom yang memerlukan pengelolaan kunci langsung di luar CA Service, sebaiknya gunakan kunci enkripsi yang dimiliki dan dikelola Google .Kunci enkripsi yang dimiliki dan dikelola Google menyediakan sistem pembuatan, penyimpanan, dan penggunaan kunci yang disederhanakan dan aman secara default.

yang dimiliki dan dikelola Google yang didukung Google Cloud menggunakan Cloud HSM dan tidak dapat diakses atau digunakan oleh organisasi lain. Akses dan penggunaan kunci penandatanganan Cloud HSM dapat diaudit melalui Cloud Audit Logs.

Untuk mengetahui informasi selengkapnya tentang model pengelolaan siklus proses, lihat Mengelola resource.

Mengimpor CA eksternal

Sertifikat yang diterbitkan sebelumnya tidak dapat diimpor ke CA Service. Sebaiknya jangan impor CA eksternal yang ada dengan sertifikat yang diterbitkan ke CA Service.

Key Escrow

CA Service menggunakan Cloud KMS dan Cloud HSM untuk melindungi kunci dari ekspor dan ekstraksi. Jika organisasi Anda ingin menyimpan salinan kunci CA, Anda dapat membuat kunci menggunakan alat lokal. Untuk menggunakan kunci tersebut dengan CA Service, impor kunci ke Cloud KMS dan Cloud HSM. Kemudian, Anda dapat menyimpan kunci dengan aman dan mempertahankan kepemilikan hingga diperlukan di masa mendatang.

Untuk mengetahui informasi tentang cara mengimpor kunci ke Cloud KMS, lihat Mengimpor kunci ke Cloud KMS.

Ukuran dan algoritma kunci CA

Ukuran dan algoritma kunci kriptografis menentukan jenis dan kekuatan pasangan kunci asimetris yang digunakan untuk menandatangani sertifikat dan Daftar Pencabutan Sertifikat (CRL). CA dapat aktif dalam jangka waktu yang relatif lama. Oleh karena itu, kunci harus cukup kuat agar aman selama masa aktif CA yang diinginkan.

Jika Anda memiliki lingkungan PKI yang terdefinisi dengan baik dan perangkat modern, Elliptic Curve Digital Signature Algorithm (ECDSA) menawarkan performa dan keamanan terbaik. Di organisasi dengan berbagai sistem dan ketidakpastian tentang dukungan kunci, penggunaan kunci berbasis RSA mungkin sudah cukup.

Ada juga pertimbangan lain untuk kunci penandatanganan CA, seperti kepatuhan terhadap sertifikasi, kompatibilitas dengan sistem lain, dan model ancaman tertentu. Pertimbangkan kasus penggunaan Anda saat memilih ukuran dan algoritma kunci.

Terlepas dari masa aktif CA, atau ukuran dan algoritma kunci, sebaiknya siapkan proses untuk rotasi kunci CA secara rutin.

Untuk mengetahui informasi selengkapnya tentang cara memilih algoritma untuk kunci penandatanganan, lihat Memilih algoritma kunci.