Présentation des pools d'autorités de certification

Un pool d'autorités de certification est un ensemble de plusieurs autorités de certification ayant une stratégie d'émission de certificats commune et une stratégie de Identity and Access Management (IAM). Les pools d'autorités de certification offrent la possibilité d'alterner les chaînes de confiance sans interruption ni temps d'arrêt de leurs charges utiles.

Un pool d'autorités de certification est vide lorsque vous le créez. Pour en savoir plus sur l'ajout d'une autorité de certification à un pool d'autorités de certification, consultez la section Créer une autorité de certification racine.

Le pool d'autorités de certification gère une liste de certificats CA de confiance. Vous devez installer ces certificats CA de confiance avec le demandeur de certificat.

Propriétés des autorités de certification dans un pool d'autorités de certification

Le tableau suivant répertorie les fonctionnalités qui doivent être identiques, qui peuvent être différentes et qui doivent l'être pour toutes les autorités de certification d'un pool d'autorités de certification.

Doit être identique pour toutes les autorités de certification d'un pool d'autorités de certification	Peut varier pour toutes les autorités de certification d'un pool d'autorités de certification	Doit être différent pour toutes les autorités de certification d'un pool d'autorités de certification
Règles d'émission de certificats Conditions IAM Niveau Emplacement Options de publication. Par exemple, indiquez si vous souhaitez publier une LRC.	Algorithmes et tailles des clés de signature Sujets des autorités de certification et SAN Date d'expiration et période de validité Étiquettes Bucket Cloud Storage géré par le client utilisé pour LRC et AIA. Clés d'autorité de certification gérées par le client Extensions de certificat CA	Nom de l'autorité de certification

Augmenter le nombre de RPS

Certificate Authority Service impose des limites sur le nombre de requêtes que vous pouvez envoyer. Par exemple, la limite d'utilisation de la requête createCertificate pour une autorité de certification DevOps est de 25 QPS.

Pour augmenter le nombre total de RPS, vous devez disposer de plusieurs autorités de certification dans un pool d'autorités de certification. Un pool d'autorités de certification augmente le nombre total de RPS effectifs en répartissant les requêtes de certificat entrantes entre toutes les autorités de certification dont l'state est ENABLED. Toutefois, vous pouvez toujours demander des certificats à partir d'une autorité de certification particulière du pool d'autorités de certification.

Vous pouvez utiliser la formule suivante pour calculer le nombre maximal de RPS autorisé pour un pool d'autorités de certification:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Par exemple, si le nombre de RPS effectifs pour une autorité de certification est de 25 RPS et que vous créez quatre autorités de certification dans un pool d'autorités de certification, le nombre total de RPS effectifs du pool d'autorités de certification est de 100 RPS.

Pour savoir comment atteindre un nombre total de RPS effectif plus élevé, consultez la section Augmenter le débit de création de certificats à l'aide d'un pool d'autorités de certification.

Gérer la rotation des autorités de certification

Un pool d'autorités de certification peut avoir des autorités de certification ayant des états différents. Émission de certificats d'équilibrage de charge d'un pool d'autorités de certification pour les charges de travail entre les autorités de certification activées d'un pool d'autorités de certification

Le pool d'autorités de certification extrait les autorités de certification spécifiques au sein du pool qui émettent des certificats. Lorsqu'une autorité de certification expire, le nombre total de RPS effectifs du pool d'autorités de certification est réduit. Par exemple, si un pool d'autorités de certification comporte quatre autorités de certification activées, le nombre total de RPS effectifs pour ce pool est de 100 RPS. Toutefois, si une autorité de certification du pool expire, le nombre total de RPS effectifs est réduit à 75 RPS. Pour vous assurer que le nombre total de RPS effectifs du pool d'autorités de certification n'est pas affecté lorsqu'une autorité de certification expire, vous devez créer une autorité de certification avant l'expiration de l'autorité de certification existante.

Pour en savoir plus, consultez Rotation des autorités de certification dans un pool d'autorités de certification.

Pour en savoir plus sur la demande d'augmentation de quota, consultez la section Demander une augmentation de la limite de quota.

Étapes suivantes

• Découvrez comment utiliser des quotas.
• Découvrez comment créer un pool d'autorités de certification.
• Découvrez comment mettre à jour et supprimer un pool d'autorités de certification.