CA プールの概要

認証局(CA)プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ複数の CA の集合です。CA プールには、ペイロードの停止やダウンタイムを発生させることなく信頼チェーンをローテーションする機能があります。

CA プールは、作成時は空です。CA プールに CA を追加する方法については、ルート CA を作成するをご覧ください。

CA プールは、信頼できる CA 証明書のリストを保持します。これらの信頼できる CA 証明書は、証明書リクエスト元にインストールする必要があります。

CA プール内の CA のプロパティ

次の表に、CA プール内のすべての CA で同じである必要がある機能、異なる可能性がある機能、異なる必要がある機能を示します。

CA プール内のすべての CA で同じである必要があります CA プール内のすべての CA で異なる場合があります CA プール内のすべての CA で異なるものにする必要があります
  • 証明書発行ポリシー
  • IAM の条件
  • ティア
  • ロケーション
  • 公開オプションたとえば、CRL を公開するかどうかなどです。
  • 署名鍵のアルゴリズムとサイズ
  • CA サブジェクトと SAN
  • 有効期限と有効期間
  • ラベル
  • CRL と AIA に使用される、顧客管理の Cloud Storage バケット。
  • 顧客管理の CA 鍵
  • CA 証明書の拡張
  • CA 名

QPS を向上させる

Certificate Authority Service は、送信できるリクエスト数に上限を適用します。たとえば、DevOps CA の createCertificate リクエストの使用上限は 25 QPS です。

有効な合計 QPS を増やすには、CA プールに複数の CA が必要です。CA プールは、ENABLED 状態のすべての CA に受信した証明書リクエストを分散することで、有効な QPS の合計を増やします。ただし、CA プール内の特定の CA から証明書をリクエストすることはできます。

CA プールで許容される最大 QPS は、次の式で計算できます。

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

たとえば、CA の有効な QPS が 25 QPS で、CA プールに 4 つの CA を作成した場合、CA プールの有効な QPS の合計は 100 QPS になります。

合計有効 QPS の増大を達成する方法については、CA プールを使用した証明書の作成スループットの向上をご覧ください。

CA ローテーションを管理する

CA プールには、異なる状態の CA を含めることができます。CA プールは、CA プール内の有効な CA 間でワークロードの証明書の発行をロードバランスします。

CA プールは、証明書を発行する特定の CA を抽象化します。CA が期限切れになると、CA プールの有効 QPS の合計が減ります。たとえば、CA プールで有効な CA が 4 つある場合、その CA プールの有効な QPS の合計は 100 QPS です。ただし、CA プール内の 1 つの CA が期限切れになると、有効な合計 QPS は 75 QPS に減少します。CA の有効期限が切れても CA プールの有効 QPS の合計が影響を受けないようにするには、既存の CA の有効期限が切れる前に新しい CA を作成する必要があります。

詳細については、CA プールで CA をローテーションするをご覧ください。

割り当ての増加をリクエストする方法については、割り当て上限の引き上げをリクエストするをご覧ください。

次のステップ