Visão geral dos pools de CA

Um pool de autoridades certificadoras (CA) é um conjunto de várias ACs com uma política comum de emissão de certificados e uma política do Identity and Access Management (IAM). Os pools de AC oferecem a capacidade de alternar as cadeias de confiança sem qualquer interrupção ou inatividade dos payloads.

Um pool de ACs está vazio quando você o cria. Para saber como adicionar uma AC a um pool de ACs, consulte Criar uma AC raiz.

O pool de ACs mantém uma lista de certificados de AC confiáveis. Você precisa instalar esses certificados de CA confiáveis com o solicitante do certificado.

Propriedades de ACs em um pool de ACs

A tabela a seguir lista os recursos que precisam ser iguais, podem ser diferentes e também devem ser diferentes para todas as ACs em um pool de ACs.

Precisa ser o mesmo para todas as ACs em um pool de ACs	Pode ser diferente para todas as ACs em um pool de ACs	Precisa ser diferente para todas as ACs em um pool de ACs
Políticas de emissão de certificados Condições do IAM Nível Local Opções de publicação. Por exemplo, se você quer publicar uma CRL.	Algoritmos e tamanhos de chaves de assinatura Assuntos da CA e SANs Data de validade e período de validade Rótulos Bucket do Cloud Storage gerenciado pelo cliente usado para CRL e AIA. Chaves de CA gerenciadas pelo cliente Extensões de certificado de CA	Nome da CA

Atingir um QPS maior

O Certificate Authority Service impõe limites ao número de solicitações que podem ser enviadas. Por exemplo, o limite de uso para a solicitação createCertificate para uma CA de DevOps é de 25 QPS.

Para aumentar o QPS efetivo total, você precisa ter várias ACs em um pool de ACs. Um pool de ACs aumenta o QPS efetivo total distribuindo as solicitações de certificado recebidas entre todas as ACs no state ENABLED. No entanto, ainda é possível solicitar certificados de uma AC específica no pool de AC.

Use a seguinte fórmula para calcular o QPS máximo permitido para um pool de AC:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por exemplo, se o QPS efetivo para uma CA for 25 QPS e você criar quatro CAs em um pool de CAs, o QPS efetivo total do pool de CA será 100 QPS.

Para mais informações sobre como alcançar um total de QPS efetivo maior, consulte Aumentar a capacidade de criação de certificados usando um pool de ACs.

Gerenciar a rotação de CA

Um pool de ACs pode ter ACs que estão em estados diferentes. Um pool de ACs equilibra a emissão de certificados para cargas de trabalho nas ACs ativadas em um pool de ACs.

O pool de ACs abstrai as ACs específicas que emitem nele. Quando uma CA expira, o QPS efetivo total do pool de AC é reduzido. Por exemplo, se um pool de ACs tiver quatro ACs ativadas, o QPS efetivo total para esse pool será de 100 QPS. No entanto, se uma CA no pool de AC expirar, o QPS efetivo total será reduzido para 75 QPS. Para garantir que o QPS efetivo total do pool de ACs não seja afetado quando uma AC expirar, é necessário criar uma nova AC antes que a AC atual expire.

Para mais informações, consulte Alternar CAs em um pool de AC.

Para informações sobre como solicitar um aumento na cota, consulte Como solicitar um limite de cota maior.

A seguir

• Saiba como trabalhar com cotas.
• Saiba como criar um pool de ACs.
• Saiba como atualizar e excluir um pool de ACs.