Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Práticas recomendadas para o Certificate Authority Service

Esta página descreve algumas das práticas recomendadas que podem ajudar você a usar o Certificate Authority Service com mais eficiência.

Funções e controle de acesso

Com o Identity and Access Management (IAM), é possível conceder papéis aos usuários. Os papéis são um pacote de uma ou mais permissões. No IAM, eles podem ser básicos, predefinidos ou personalizados.

Tipo de papel do IAM	Descrição
Básico	Inclui os papéis de proprietário, editor e leitor que existiam antes da introdução do IAM.
Predefinido	Os papéis predefinidos são criados e mantidos pelo Google.
Personalizado	Os papéis personalizados são definidos pelo usuário e permitem agrupar uma ou mais permissões compatíveis para atender a necessidades específicas. Para mais informações, consulte Noções básicas sobre papéis personalizados.

As pessoas não podem ter mais de uma função atribuída a qualquer momento. Além disso, todos que ocupam uma função atribuída precisam receber instruções e treinamento adequados sobre as responsabilidades e práticas de segurança. Se você quiser atribuir um conjunto diversificado de permissões a uma pessoa, recomendamos que você crie uma função personalizada usando o IAM. Para saber como criar uma função personalizada, consulte Como criar e gerenciar funções personalizadas.

Para informações sobre permissões e papéis predefinidos do IAM, consulte Controle de acesso com o IAM.

Níveis de serviço de CA

Os níveis são definidos para o pool de autoridades certificadoras (ACs). Todas as ACs em um pool recebem o mesmo nível. O serviço de AC oferece dois níveis de serviço operacional para pools de ACs: DevOps e Enterprise. Esses dois níveis oferecem às organizações um equilíbrio de recursos de desempenho e gerenciamento de ciclo de vida com base nos requisitos operacionais.

Recomendamos que você considere cuidadosamente o uso do nível do DevOps, porque ele não oferece suporte à revogação de certificados.
Para CAs no nível DevOps, os certificados emitidos não são armazenados. Só é possível rastrear certificados revisando os Registros de auditoria do Cloud, se ativados. Recomendamos usar o nível do DevOps apenas para certificados de curta duração que não precisam ser revogados, como os usados com microsserviços, contêineres, certificados de sessão, máquinas virtuais não persistentes e outras necessidades isoladas.
Uma infraestrutura de chave pública (PKI) pode consistir em uma combinação de CAs nos níveis DevOps e Enterprise para atender a várias necessidades.
Na maioria dos casos, recomendamos usar o nível Enterprise para criar pools de CA que emitem certificados para outras CAs e entidades finais.

Para mais informações sobre os níveis de serviço da AC, consulte Selecionar os níveis de operação.

Para informações sobre como ativar os Registros de auditoria do Cloud, consulte Como configurar registros de auditoria de acesso a dados.

Chaves de assinatura da CA

O controle adequado do par de chaves criptográficas subjacente para certificados de AC determina a segurança e a integridade oferecidas pela PKI. Esta seção lista algumas práticas recomendadas para proteger as chaves de assinatura da AC.

Módulos de segurança de hardware (HSM)

É possível configurar o serviço de AC para usar chaves de criptografia de propriedade e gerenciadas pelo Google que usam o Cloud HSM para gerar, armazenar e usar chaves. No entanto, se você quiser usar uma chave do Cloud KMS, poderá fazer isso durante a configuração da CA.

Para mais informações sobre o Cloud HSM, consulte Cloud HSM.

Para mais informações sobre como importar uma chave criptográfica para o Cloud HSM ou o Cloud KMS, consulte Importar uma chave para o Cloud KMS.

Chaves gerenciadas pelo Google e pelo cliente

Se você não tiver um requisito operacional ou de segurança personalizado que exija o gerenciamento direto de chaves fora do serviço de AC, recomendamos que use chaves de criptografia de propriedade e gerenciadas pelo Google .As chaves de criptografia de propriedade e gerenciadas pelo Google oferecem um sistema simplificado e seguro por padrão de geração, armazenamento e utilização de chaves.

As chaves de criptografiado Google Cloud usam o Cloud HSM e não podem ser acessadas nem usadas por nenhuma outra organização. O acesso e o uso das chaves de assinatura do Cloud HSM podem ser auditados pelos registros de auditoria do Cloud.

Para mais informações sobre modelos de gerenciamento do ciclo de vida, consulte Gerenciar recursos.

Importar ACs externas

Não é possível importar certificados emitidos anteriormente para o serviço de CA. Não recomendamos importar uma CA externa com certificados emitidos para o serviço de CA.

Chave em garantia

O CA Service usa o Cloud KMS e o Cloud HSM para proteger as chaves contra exportação e extração. Se a organização quiser manter uma cópia das chaves da CA, gere-as usando ferramentas locais. Para usar essas chaves com o serviço de CA, importe-as para o Cloud KMS e o Cloud HSM. Depois, você pode fazer o escrow das chaves com segurança e manter a posse até que elas sejam necessárias no futuro.

Para informações sobre como importar chaves para o Cloud KMS, consulte Como importar uma chave para o Cloud KMS.

Tamanhos e algoritmos de chave da CA

Os tamanhos e algoritmos de chaves criptográficas definem o tipo e a força do par de chaves assimétricas usado para assinar certificados e listas de revogação de certificados (CRLs, na sigla em inglês). As CAs podem durar por um período relativamente longo. Por isso, é importante que as chaves sejam fortes o suficiente para serem seguras durante todo o ciclo de vida pretendido da CA.

Se você tiver um ambiente de PKI bem definido com dispositivos modernos, o algoritmo de assinatura digital de curva elíptica (ECDSA) vai oferecer o melhor desempenho e segurança. Em organizações com uma ampla variedade de sistemas e incerteza sobre o suporte a chaves, pode ser suficiente usar chaves baseadas em RSA.

Há também outras considerações para chaves de assinatura de CA, como conformidade com certificações, compatibilidade com outros sistemas e modelos de ameaças específicos. Considere seu caso de uso ao escolher um tamanho e um algoritmo de chave.

Independentemente do ciclo de vida da CA ou do tamanho e algoritmo da chave, recomendamos que você configure um processo para rotação regular das chaves da CA.

Para mais informações sobre como escolher um algoritmo para chaves de assinatura, consulte Escolher um algoritmo de chave.