Descripción general de los grupos de AC

Un grupo de autoridades certificadoras (AC) es un conjunto de varias AC con una política común de emisión de certificados y una política de Identity and Access Management (IAM). Los grupos de AC proporcionan la capacidad de rotar cadenas de confianza sin interrupciones ni tiempo de inactividad para sus cargas útiles.

Un grupo de AC está vacío cuando lo creas. Para obtener más información sobre cómo agregar una AC a un grupo de AC, consulta Crea una AC raíz.

El grupo de AC mantiene una lista de certificados de AC de confianza. Debes instalar estos certificados de la AC de confianza con el solicitante de certificados.

Propiedades de las AC en un grupo de AC

En la siguiente tabla, se enumeran las funciones que deben ser iguales, pueden ser diferentes y deben ser distintas para todas las AC de un grupo de AC.

Debe ser igual para todas las AC de un grupo de AC Puede ser diferente para todas las AC en un grupo de AC Debe ser diferente para todas las AC de un grupo de AC
  • Políticas de emisión de certificados
  • Condiciones de IAM
  • Nivel
  • Ubicación
  • Opciones de publicación. Por ejemplo, si se debe publicar una CRL.
  • Algoritmos y tamaños de las claves de firma
  • Asuntos de la AC y SAN
  • Fecha de vencimiento y período de validez
  • Etiquetas
  • Bucket de Cloud Storage administrado por el cliente que se usa para CRL y AIA.
  • Claves de CA administradas por el cliente
  • Extensiones de certificados de la AC
  • Nombre de la AC

Cómo obtener una mayor cantidad de QPS

Certificate Authority Service aplica límites a la cantidad de solicitudes que puedes enviar. Por ejemplo, el límite de uso de la solicitud createCertificate para una CA de DevOps es de 25 QPS.

Para aumentar el total de QPS efectivas, debes tener varias AC en un grupo de AC. Un grupo de AC aumenta el total de QPS efectivas mediante la distribución de las solicitudes de certificados entrantes entre todas las AC en el state ENABLED. Sin embargo, aún puedes solicitar certificados de una AC en particular en el grupo de AC.

Puedes usar la siguiente fórmula para calcular la cantidad máxima de QPS permitidas para un grupo de AC:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por ejemplo, si las QPS efectivas para una CA son de 25 QPS y si creas 4 CA en un grupo de CA, la cantidad total de QPS efectivas del grupo de CA es de 100 QPS.

Si quieres obtener más información para lograr un mayor total de QPS efectivas, consulta Aumenta la capacidad de procesamiento de creación de certificados mediante un grupo de AC.

Administra la rotación de CA

Un grupo de AC puede tener AC que se encuentren en diferentes estados. Un grupo de CA balancea la emisión de certificados para las cargas de trabajo entre las AC habilitadas dentro de un grupo de AC.

El grupo de AC abstrae las AC específicas que emiten certificados dentro de él. Cuando vence una AC, se reduce el total de QPS vigentes del grupo de AC. Por ejemplo, si un grupo de AC tiene 4 AC habilitadas, las QPS efectivas totales para ese grupo de AC son de 100 QPS. Sin embargo, si vence una AC del grupo de AC, la cantidad total de QPS efectiva se reduce a 75 QPS. Para garantizar que las QPS totales eficaces del grupo de AC no se vean afectadas cuando venza una AC, debes crear una AC nueva antes de que venza la AC existente.

Para obtener más información, consulta Cómo rotar las AC en un grupo de AC.

Para obtener información sobre cómo solicitar un aumento de la cuota, consulta Solicita un límite de cuota mayor.

¿Qué sigue?