Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Best practice per Certificate Authority Service

Questa pagina descrive alcune delle best practice che possono aiutarti a utilizzare Certificate Authority Service in modo più efficace.

Ruoli e controllo dell'accesso

Utilizzando Identity and Access Management (IAM), puoi concedere ruoli agli utenti. I ruoli sono un insieme di una o più autorizzazioni. I ruoli in IAM possono essere di base, predefiniti o personalizzati.

Tipo di ruolo IAM	Descrizione
Di base	Include i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
Predefinito	I ruoli predefiniti sono creati e gestiti da Google.
Personalizzato	I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare esigenze specifiche. Per ulteriori informazioni, consulta Informazioni sui ruoli personalizzati.

A una persona non devono essere assegnati più ruoli contemporaneamente. Inoltre, tutti i titolari di un ruolo assegnato devono essere adeguatamente informati e formati sulle proprie responsabilità e sulle pratiche di sicurezza. Se vuoi assegnare a una persona un insieme diversificato di autorizzazioni, ti consigliamo di creare un ruolo personalizzato utilizzando IAM. Per informazioni sulla creazione di un ruolo personalizzato, consulta Creare e gestire ruoli personalizzati.

Per informazioni su autorizzazioni e ruoli IAM predefiniti, consulta Controllo dell'accesso con IAM.

Livelli di servizio CA

I livelli sono impostati per il pool di autorità di certificazione (CA). A tutte le CA in un pool di CA viene assegnato lo stesso livello. CA Service fornisce due livelli di servizio operativi per i pool di CA: DevOps ed Enterprise. Questi due livelli offrono alle organizzazioni un equilibrio tra prestazioni e funzionalità di gestione del ciclo di vita in base ai requisiti operativi.

Ti consigliamo di valutare attentamente l'utilizzo del livello DevOps perché non supporta la revoca dei certificati.
Per le CA nel livello DevOps, i certificati emessi non vengono archiviati. Puoi monitorare i certificati solo esaminando gli audit log di Cloud, se abilitati. Ti consigliamo di utilizzare il livello DevOps solo per i certificati di breve durata che non devono essere revocati, ad esempio i certificati utilizzati con microservizi, container, certificati di sessione, macchine virtuali non persistenti e altre esigenze isolate.
Un'infrastruttura a chiave pubblica (PKI) può essere costituita da una combinazione di CA nei livelli DevOps ed Enterprise per soddisfare varie esigenze.
Nella maggior parte dei casi, ti consigliamo di utilizzare il livello Enterprise per creare pool di CA che emettono certificati per altre CA ed entità finali.

Per ulteriori informazioni sui livelli di servizio CA, consulta Selezionare i livelli operativi.

Per informazioni sull'abilitazione di Cloud Audit Logs, consulta Configurare gli audit log di accesso ai dati.

Chiavi di firma CA

Il controllo corretto della coppia di chiavi di crittografia sottostante per i certificati CA determina la sicurezza e l'integrità offerte dalla PKI. Questa sezione elenca alcune best practice per proteggere le chiavi di firma CA.

Moduli di sicurezza hardware (HSM)

Puoi configurare CA Service in modo che utilizzi le chiavi di crittografia di proprietà di Google e gestite da Google che utilizzano Cloud HSM per generare, archiviare e utilizzare le chiavi. Tuttavia, se vuoi utilizzare una chiave Cloud KMS esistente, puoi utilizzarla durante la configurazione della CA.

Per ulteriori informazioni su Cloud HSM, consulta Cloud HSM.

Per ulteriori informazioni sull'importazione di una chiave di crittografia in Cloud HSM o Cloud KMS, consulta Importare una chiave in Cloud KMS.

Chiavi gestite da Google e chiavi gestite dal cliente

Se non hai un requisito di sicurezza o operativo personalizzato che richieda la gestione diretta delle chiavi al di fuori di CA Service, ti consigliamo che tu utilizzi di proprietà di Google e gestite da Google . di proprietà di Google e gestite da Google forniscono un sistema semplificato e sicuro per impostazione predefinita per la generazione, l'archiviazione e l'utilizzo delle chiavi.

basate su Google Cloud di proprietà di Google e gestite da Google utilizzano Cloud HSM e non sono accessibili o utilizzabili da altre organizzazioni. L'accesso e l'utilizzo delle chiavi di firma Cloud HSM sono controllabili tramite Cloud Audit Logs.

Per ulteriori informazioni sui modelli di gestione del ciclo di vita, consulta Gestire le risorse.

Importazione di CA esterne

Non è possibile importare i certificati emessi in precedenza in CA Service. Ti consigliamo di non importare una CA esterna esistente con certificati emessi in CA Service.

Key escrow

CA Service utilizza Cloud KMS e Cloud HSM per proteggere le chiavi dall'esportazione e dall'estrazione. Se la tua organizzazione vuole conservare una copia delle chiavi CA, puoi generarle utilizzando strumenti on-premise. Per utilizzare queste chiavi con CA Service, importale in Cloud KMS e Cloud HSM. A questo punto, puoi archiviare in modo sicuro le chiavi e mantenerne il possesso fino a quando non saranno necessarie in futuro.

Per informazioni sull'importazione delle chiavi in Cloud KMS, consulta Importare una chiave in Cloud KMS.

Dimensioni e algoritmi delle chiavi CA

Le dimensioni e gli algoritmi delle chiavi di crittografia definiscono il tipo e la robustezza della coppia di chiavi asimmetriche utilizzata per firmare i certificati e gli elenchi di revoca dei certificati (CRL). Le CA possono esistere per un periodo di tempo relativamente lungo. Pertanto, è importante che le chiavi siano abbastanza robuste da essere sicure per tutta la durata prevista della CA.

Se hai un ambiente PKI ben definito con dispositivi moderni, l'algoritmo di firma digitale con curva ellittica (ECDSA) offre le migliori prestazioni e sicurezza. Nelle organizzazioni con un'ampia gamma di sistemi e incertezza sul supporto delle chiavi, potrebbe essere sufficiente utilizzare chiavi basate su RSA.

Esistono anche altre considerazioni per le chiavi di firma CA, come la conformità alle certificazioni, la compatibilità con altri sistemi e i modelli di minaccia specifici. Tieni conto del tuo caso d'uso quando scegli le dimensioni e l'algoritmo della chiave.

Indipendentemente dalla durata della CA o dalle dimensioni e dall'algoritmo della chiave, ti consigliamo di configurare una procedura per la rotazione regolare delle chiavi CA.

Per ulteriori informazioni sulla scelta di un algoritmo per le chiavi di firma, consulta Scegliere un algoritmo di chiave.