憑證授權單位服務的最佳做法
本頁列出一些最佳做法,有助於發揮更多憑證授權單位服務效能。
角色和存取控管
您可以使用身分與存取權管理 (IAM) 授予使用者角色。角色是由一或多個權限組合而成。IAM 中的角色可以是基本、預先定義或自訂角色。
| IAM 角色類型 | 說明 |
|---|---|
| 基本 | 包括在 IAM 推出前就存在的角色,例如擁有者、編輯者和檢視者。 |
| 預先定義 | 預先定義角色是由 Google 建立及維護。 |
| 自訂 | 自訂角色是由使用者定義,可繫結一或多個支援的權限以滿足特定需求。詳情請參閱「瞭解自訂角色」。 |
請勿同時指派多個角色給同一位使用者。此外,所有獲派角色的人員都應充分瞭解自己的職責和安全措施,並接受相關訓練。如要指派多種權限給同一位使用者,建議使用 IAM 建立自訂角色。如要瞭解如何建立自訂角色,請參閱「建立及管理自訂角色」。
如要瞭解權限和預先定義的 IAM 角色,請參閱「使用 IAM 控管存取」。
CA 服務層級
級別是為憑證授權單位 (CA) 集區設定,CA 集區中的所有 CA 都會指派到相同層級。CA 服務為 CA 集區提供兩種作業服務級別:DevOps 和 Enterprise。這兩個層級可根據作業需求,為機構提供效能和生命週期管理功能的平衡。
- 建議您謹慎考慮是否要使用 DevOps 層級,因為該層級不支援憑證撤銷。
- 對於開發運作層級的 CA,系統不會儲存核發的憑證。如要追蹤憑證,只能查看 Cloud 稽核記錄 (如已啟用)。建議您只將 DevOps 層級用於不需要撤銷的短期憑證,例如用於微服務、容器、工作階段憑證、非持續性虛擬機器和其他獨立需求的憑證。
- 公用金鑰基礎架構 (PKI) 可由 DevOps 和 Enterprise 方案中的 CA 組合而成,滿足各種需求。
- 在大多數情況下,我們建議您使用 Enterprise 層級建立 CA 集區,向其他 CA 和終端實體核發憑證。
如要進一步瞭解 CA 服務級別,請參閱「選取作業級別」。
如要瞭解如何啟用 Cloud 稽核記錄,請參閱「設定資料存取稽核記錄」一文。
CA 簽署金鑰
適當控管 CA 憑證的基礎加密編譯金鑰組,可決定 PKI 提供的安全性和完整性。本節列出一些保護 CA 簽署金鑰的最佳做法。
硬體安全性模組 (HSM)
您可以設定 CA 服務,使用 Google 擁有及管理的 加密金鑰,並透過 Cloud HSM 產生、儲存及使用金鑰。不過,如要使用現有的 Cloud KMS 金鑰,可以在設定 CA 時使用該金鑰。
如要進一步瞭解 Cloud HSM,請參閱 Cloud HSM。
如要進一步瞭解如何將加密編譯金鑰匯入 Cloud HSM 或 Cloud KMS,請參閱「將金鑰匯入至 Cloud KMS」。
Google 管理的金鑰與客戶管理的金鑰
如果您沒有自訂安全性或作業需求,需要直接管理 CA Service 以外的金鑰,建議您使用 Google 擁有及管理的 加密金鑰。 Google 擁有及管理的 加密金鑰,可簡化金鑰的產生、儲存和使用程序,並預設提供安全保障。
的 Google 自有和 Google 代管 加密金鑰使用 Cloud HSM,其他機構無法存取或使用。透過 Cloud 稽核記錄,您可以稽核 Cloud HSM 簽署金鑰的存取和使用情形。
如要進一步瞭解生命週期管理模型,請參閱「管理資源」一文。
匯入外部 CA
您無法將先前核發的憑證匯入 CA 服務。建議您不要將現有的外部 CA 連同核發的憑證匯入 CA 服務。
金鑰託管
CA 服務會使用 Cloud KMS 和 Cloud HSM,防止金鑰遭到匯出和擷取。如果貴機構想保留 CA 金鑰副本,可以使用地端工具產生金鑰。如要在 CA 服務中使用這些金鑰,請將金鑰匯入 Cloud KMS 和 Cloud HSM。接著,您就可以安全地保管金鑰,並在日後需要時再使用。
如要瞭解如何將金鑰匯入 Cloud KMS,請參閱「將金鑰匯入至 Cloud KMS」。
CA 金鑰大小和演算法
加密金鑰大小和演算法會定義非對稱金鑰組的類型和強度,用於簽署憑證和憑證撤銷清單 (CRL)。CA 的存續時間相對較長,因此金鑰必須夠強,才能在 CA 的預期存續期間確保安全。
如果您有明確定義的 PKI 環境和新式裝置,橢圓曲線數位簽章演算法 (ECDSA) 可提供最佳效能和安全性。如果貴機構的系統種類繁多,且不確定金鑰支援情況,使用以 RSA 為基礎的金鑰可能就已足夠。
此外,CA 簽署金鑰還有其他考量事項,例如是否符合認證規定、是否與其他系統相容,以及具體的威脅模型。選擇金鑰大小和演算法時,請考量您的用途。
無論 CA 的生命週期、金鑰大小和演算法為何,我們都建議您設定定期輪替 CA 金鑰的程序。
如要進一步瞭解如何為簽署金鑰選擇演算法,請參閱「選擇金鑰演算法」。