Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Prácticas recomendadas para Certificate Authority Service

En esta página, se describen algunas de las prácticas recomendadas que pueden ayudarte a usar Certificate Authority Service de forma más eficaz.

Roles y control de acceso

Con Identity and Access Management (IAM), puedes otorgar roles a los usuarios. Las funciones son un paquete de uno o más permisos. Los roles en IAM pueden ser básicos, predefinidos o personalizados.

Tipo de rol de IAM	Descripción
Básico	Incluyen los roles de propietario, editor y visualizador que existían antes de la introducción de IAM.
Predefinido	Google crea y mantiene las funciones predefinidas.
Personalizado	Los roles personalizados están definidos por el usuario y te permiten agrupar uno o más permisos compatibles para satisfacer tus necesidades específicas. Para obtener más información, consulta Información sobre las funciones personalizadas.

A las personas no se les debe asignar más de un rol en un momento determinado. Además, todas las personas que tengan un rol asignado deben recibir la capacitación y las instrucciones adecuadas sobre sus responsabilidades y prácticas de seguridad. Si deseas asignar un conjunto diverso de permisos a una persona, te recomendamos que crees un rol personalizado con IAM. Para obtener información sobre cómo crear un rol personalizado, consulta Crea y administra roles personalizados.

Para obtener información sobre los permisos y los roles predefinidos de IAM, consulta Control de acceso con IAM.

Niveles de servicio de CA

Se establecen niveles para el grupo de autoridades certificadoras (CA). Todas las CA de un grupo de CA tienen asignado el mismo nivel. El servicio de CA proporciona dos niveles de servicio operativos para los grupos de CA: DevOps y Enterprise. Estos dos niveles proporcionan a las organizaciones un equilibrio entre el rendimiento y las capacidades de administración del ciclo de vida según los requisitos operativos.

Te recomendamos que consideres cuidadosamente usar el nivel de DevOps, ya que no admite la revocación de certificados.
En el caso de las CA del nivel de DevOps, no se almacenan los certificados emitidos. Solo puedes hacer un seguimiento de los certificados revisando los registros de auditoría de Cloud, si están habilitados. Te recomendamos que uses el nivel de DevOps solo para los certificados de corta duración que no necesiten revocarse, como los certificados que se usan con microservicios, contenedores, certificados de sesión, máquinas virtuales no persistentes y otras necesidades aisladas.
Una infraestructura de clave pública (PKI) puede constar de una combinación de CA en los niveles de DevOps y Enterprise para satisfacer diversas necesidades.
En la mayoría de los casos, te recomendamos que uses el nivel Enterprise para crear grupos de CA que emitan certificados a otras CA y entidades finales.

Para obtener más información sobre los niveles de servicio de la AC, consulta Selecciona los niveles de operación.

Si deseas obtener información para habilitar Registros de auditoría de Cloud, consulta Configura registros de auditoría de acceso a los datos.

Claves de firma de la CA

El control adecuado del par de claves criptográficas subyacente para los certificados de la AC determina la seguridad y la integridad que ofrece la PKI. En esta sección, se enumeran algunas prácticas recomendadas para proteger las claves de firma de la CA.

Módulos de seguridad de hardware (HSM)

Puedes configurar el servicio de AC para que use propiedad de Google y administradas por Google potenciadas por Google Cloud que usan Cloud HSM para generar, almacenar y usar claves. Sin embargo, si deseas usar una clave de Cloud KMS existente, puedes usarla durante la configuración de la AC.

Para obtener más información sobre Cloud HSM, consulta Cloud HSM.

Para obtener más información sobre cómo importar una clave criptográfica a Cloud HSM o Cloud KMS, consulta Cómo importar una clave a Cloud KMS.

Comparación entre las claves administradas por Google y las administradas por el cliente

Si no tienes un requisito operativo o de seguridad personalizado que requiera la administración directa de claves fuera del servicio de AC, te recomendamos que uses propiedad de Google y administradas por Google potenciadas por Google Cloud. propiedad de Google y administradas por Google potenciadas por Google Cloud proporcionan un sistema simplificado y seguro de forma predeterminada para la generación, el almacenamiento y el uso de claves.

Las claves de encriptaciónpropiedad de Google y administradas por Google con tecnología de Google Cloud usan Cloud HSM y ninguna otra organización puede acceder a ellas ni usarlas. El acceso y el uso de las claves de firma de Cloud HSM se pueden auditar a través de los registros de auditoría de Cloud.

Para obtener más información sobre los modelos de administración del ciclo de vida, consulta Administra recursos.

Importación de CA externas

No es posible importar certificados emitidos anteriormente en el servicio de CA. Te recomendamos que no importes una CA externa existente con certificados emitidos en el servicio de CA.

Custodia de claves

El servicio de CA usa Cloud KMS y Cloud HSM para proteger las claves contra la exportación y la extracción. Si tu organización desea conservar una copia de sus claves de la AC, puedes generar claves con herramientas locales. Para usar esas claves con el servicio de CA, impórtalas a Cloud KMS y Cloud HSM. Luego, puedes depositar las claves de forma segura y mantener la posesión hasta que las necesites en el futuro.

Para obtener información sobre cómo importar claves a Cloud KMS, consulta Importa una clave a Cloud KMS.

Algoritmos y tamaños de clave de la CA

Los tamaños y algoritmos de las claves criptográficas definen el tipo y la potencia del par de claves asimétricas que se usa para firmar certificados y listas de revocación de certificados (CRL). Las CA pueden tener una vida útil relativamente larga. Por lo tanto, es importante que las claves sean lo suficientemente seguras durante el ciclo de vida previsto de la CA.

Si tienes un entorno de PKI bien definido con dispositivos modernos, el algoritmo de firma digital de curva elíptica (ECDSA) ofrece el mejor rendimiento y seguridad. En las organizaciones con una amplia variedad de sistemas y dudas sobre la compatibilidad de claves, podría ser suficiente usar claves basadas en RSA.

También hay otras consideraciones para las claves de firma de la CA, como el cumplimiento de las certificaciones, la compatibilidad con otros sistemas y los modelos de amenazas específicos. Considera tu caso de uso cuando elijas un tamaño y un algoritmo de clave.

Independientemente de la vida útil de la CA, el tamaño de la clave y el algoritmo, te recomendamos que configures un proceso para la rotación periódica de las claves de la CA.

Para obtener más información sobre cómo elegir un algoritmo para las claves de firma, consulta Cómo elegir un algoritmo de clave.