Panoramica dei pool di CA

Un pool di autorità di certificazione (CA) è una raccolta di più CA con criteri comuni di emissione dei certificati e criteri IAM (Identity and Access Management). I pool di CA consentono di ruotare le catene di attendibilità senza interruzioni o tempi di inattività per i loro payload.

Un pool di CA è vuoto quando lo crei. Per informazioni sull'aggiunta di una CA a un pool di CA, consulta Creare una CA radice.

Il pool di CA gestisce un elenco di certificati CA attendibili. Devi installare questi certificati CA attendibili insieme al richiedente del certificato.

Proprietà delle CA in un pool di CA

La seguente tabella elenca le funzionalità che devono essere uguali, possono essere diverse e devono essere diverse per tutte le CA in un pool di CA.

Deve essere uguale per tutte le CA in un pool di CA	Può essere diverso per tutte le CA in un pool di CA	Deve essere diverso per tutte le CA in un pool di CA
Criteri di emissione dei certificati Condizioni IAM Livello Località Opzioni di pubblicazione. Ad esempio, se pubblicare un CRL.	Algoritmi e dimensioni delle chiavi di firma soggetti CA e SAN Data di scadenza e periodo di validità Etichette Bucket Cloud Storage gestito dal cliente utilizzato per CRL e AIA. Chiavi CA gestite dal cliente Estensioni dei certificati CA	Nome CA

Raggiungi un valore QPS più elevato

Certificate Authority Service applica limiti al numero di richieste che puoi inviare. Ad esempio, il limite di utilizzo per la richiesta createCertificate per una CA DevOps è 25 QPS.

Per aumentare il numero di QPS effettivo totale, devi avere più CA in un pool di CA. Un pool di CA aumenta il valore QPS effettivo totale distribuendo le richieste di certificato in entrata in tutte le CA nello state ENABLED. Tuttavia, puoi comunque richiedere certificati da una determinata CA nel pool di CA.

Puoi utilizzare la seguente formula per calcolare il valore QPS massimo consentito per un pool di CA:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Ad esempio, se il QPS effettivo per una CA è 25 QPS e se crei 4 CA in un pool di CA, il QPS effettivo del pool di CA è pari a 100 QPS.

Per saperne di più su come ottenere un valore QPS effettivo più elevato, consulta Aumentare la velocità effettiva di creazione dei certificati utilizzando un pool di CA.

Gestisci rotazione CA

Un pool di CA può avere CA in stati diversi. Un pool di CA bilancia il carico dell'emissione dei certificati per i carichi di lavoro nelle CA abilitate in un pool di CA.

Il pool di CA astrae le CA specifiche al suo interno che emettono i certificati. Quando una CA scade, il numero di QPS effettivo del pool di CA viene ridotto. Ad esempio, se un pool di CA ha 4 CA abilitate, il QPS effettivo per quel pool di CA è 100 QPS. Tuttavia, se una CA nel pool di CA scade, il QPS effettivo viene ridotto a 75 QPS. Per assicurarti che il valore QPS effettivo del pool di CA rimanga invariato alla scadenza di una CA, devi creare una nuova CA prima della scadenza di quella esistente.

Per saperne di più, consulta Ruotare le CA in un pool di CA.

Per informazioni su come richiedere un aumento della quota, consulta Richiesta di un limite di quota più elevato.

Passaggi successivi

• Scopri come utilizzare le quote.
• Scopri come creare un pool di CA.
• Scopri come aggiornare ed eliminare un pool di CA.