CA プールの概要

認証局(CA)プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ複数の CA のコレクションです。CA プールには、ペイロードの停止やダウンタイムを発生させることなく信頼チェーンをローテーションする機能があります。

CA プールは、作成時は空です。CA プールに CA を追加する方法については、ルート CA の作成をご覧ください。

CA プールは、信頼できる CA 証明書のリストを保持しています。これらの信頼できる CA 証明書は、証明書リクエスト元とともにインストールする必要があります。

CA プール内の CA のプロパティ

次の表に、CA プール内のすべての CA で同じで異なる、または異なる機能を示します。

CA プール内のすべての CA で同じにする必要があります CA プール内のすべての CA ごとに異なる場合があります CA プール内のすべての CA ごとに異なる必要があります
  • 証明書発行ポリシー
  • IAM の条件
  • ティア
  • ロケーション
  • 公開オプションたとえば、CRL を公開するかどうかなどです。
  • 署名鍵のアルゴリズムとサイズ
  • CA サブジェクトと SAN
  • 有効期限と有効期間
  • ラベル
  • CRL と AIA に使用される顧客管理の Cloud Storage バケット。
  • 顧客管理の暗号鍵
  • CA 証明書の拡張
  • CA 名

QPS 向上の達成

Certificate Authority Service では、送信できるリクエスト数に上限があります。たとえば、DevOps CA の createCertificate リクエストの使用量上限は、25 QPS です。

有効 QPS の合計を増やすには、CA プールに複数の CA が存在する必要があります。CA プールは、ENABLED 状態のすべての CA に受信証明書リクエストを分散することで、有効な QPS の合計を引き上げます。ただし、CA プール内の特定の CA の証明書をリクエストすることはできます。

次の式を使用して、CA プールの最大許容 QPS を計算できます。

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

たとえば、CA の有効 QPS が 25 QPS で、CA プールに 4 つの CA を作成した場合、CA プールの有効 QPS の合計は 100 QPS です。

合計有効 QPS の増大を達成する方法については、CA プールを使用した証明書の作成スループットの向上をご覧ください。

CA ローテーションを管理する

CA プールには、異なる状態の CA を含めることができます。CA プールの負荷分散は、CA プール内の有効な CA 全体のワークロードの証明書発行を再負荷分散します。

CA プールは、証明書を発行する内部の特定の CA を抽象化します。CA が期限切れになると、CA プールの合計有効 QPS が減ります。たとえば、CA プールに 4 つの有効な CA がある場合、その CA プールの有効 QPS の合計は 100 QPS になります。ただし、CA プール内の 1 つの CA が期限切れになると、有効な QPS の合計は 75 QPS に減ります。CA の有効期限が切れても、CA プールの有効 QPS の合計が影響を受けないようにするには、既存の CA の有効期限が切れる前に新しい CA を作成する必要があります。

詳細については、CA プール内の CA のローテーションをご覧ください。

割り当ての増加をリクエストする方法については、割り当て上限の引き上げをリクエストするをご覧ください。

次のステップ