コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
CA プールの概要
認証局(CA)プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ複数の CA の集合です。CA プールには、ペイロードの停止やダウンタイムを発生させることなく信頼チェーンをローテーションする機能があります。
CA プールは、作成時は空です。CA プールに CA を追加する方法については、ルート CA を作成するをご覧ください。
CA プールは、信頼できる CA 証明書のリストを維持します。これらの信頼できる CA 証明書は、証明書リクエスト元にインストールする必要があります。
CA プール内の CA のプロパティ
次の表に、CA プール内のすべての CA で同じである必要がある機能、異なる可能性がある機能、異なる必要がある機能を示します。
CA プール内のすべての CA で同じである必要がある |
CA プール内のすべての CA で異なる場合がある |
CA プール内のすべての CA で異なる必要がある |
- 証明書発行ポリシー
- IAM の条件
- 階層
- ロケーション
- 公開オプションたとえば、CRL を公開するかどうかなどです。
|
- 署名鍵のアルゴリズムとサイズ
- CA サブジェクトと SAN
- 有効期限と有効期間
- ラベル
- CRL と AIA に使用される顧客管理の Cloud Storage バケット。
- 顧客管理の CA 鍵
- CA 証明書の拡張機能
|
|
QPS を向上させる
Certificate Authority Service は、送信できるリクエスト数に上限を適用します。たとえば、DevOps CA の createCertificate リクエストの使用上限は 25 QPS です。
有効な合計 QPS を増やすには、CA プールに複数の CA が必要です。CA プールは、ENABLED
状態のすべての CA に受信した証明書リクエストを分散することで、有効な合計 QPS を増やします。ただし、CA プール内の特定の CA から証明書をリクエストすることはできます。
CA プールで許可される最大 QPS は、次の式で計算できます。
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
たとえば、CA の有効な QPS が 25 QPS で、CA プールに 4 つの CA を作成した場合、CA プールの有効な QPS の合計は 100 QPS になります。
合計有効 QPS の増大を達成する方法については、CA プールを使用した証明書の作成スループットの向上をご覧ください。
CA ローテーションを管理する
CA プールには、異なる状態の CA を含めることができます。CA プールは、CA プール内の有効な CA 間でワークロードの証明書の発行をロードバランスします。
CA プールは、証明書を発行する特定の CA を抽象化します。CA が期限切れになると、CA プールの有効な QPS の合計が減ります。たとえば、CA プールで有効な CA が 4 つある場合、その CA プールの有効な QPS の合計は 100 QPS です。ただし、CA プール内の 1 つの CA が期限切れになると、有効な合計 QPS は 75 QPS に減少します。CA の有効期限が切れても CA プールの有効 QPS の合計が影響を受けないようにするには、既存の CA の有効期限が切れる前に新しい CA を作成する必要があります。
詳細については、CA プールで CA をローテーションするをご覧ください。
割り当ての増加をリクエストする方法については、割り当て上限の引き上げをリクエストするをご覧ください。
次のステップ
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-03-06 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-03-06 UTC。"],[[["A CA pool is a collection of multiple CAs sharing a common certificate issuance and Identity and Access Management (IAM) policy, allowing for trust chain rotation without downtime."],["CA pools maintain a list of trusted CA certificates that must be installed with the certificate requester, and it is initially empty upon creation."],["All CAs within a CA pool must have the same certificate issuance policies, IAM conditions, tier, location, and publishing options, but can have different algorithms, key sizes, subjects, expiration dates, and labels."],["Using a CA pool with multiple CAs increases the total effective Queries Per Second (QPS) for certificate requests by distributing them across enabled CAs, calculated by the formula `Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)`."],["To maintain a consistent total effective QPS, new CAs must be created in the CA pool before existing ones expire, as the total effective QPS reduces upon CA expiration."]]],[]]