CA 池概览

证书授权机构 (CA) 池是具有通用证书颁发政策和 Identity and Access Management (IAM) 政策的多个 CA 的集合。CA 池能够轮替信任链,而不会使载荷出现任何中断或停机。

创建 CA 池时,该池是空的。如需了解如何将 CA 添加到 CA 池,请参阅创建根 CA

CA 池会维护可信 CA 证书列表。您必须通过证书请求者安装这些受信任的 CA 证书。

CA 池中 CA 的属性

下表列出了 CA 池中所有 CA 必须相同、可以不同的特性,必须不同的特性。

CA 池中的所有 CA 必须相同 CA 池中的所有 CA 可以不同 CA 池中的所有 CA 不得相同
  • 证书颁发政策
  • IAM Conditions
  • 层级
  • 位置
  • 发布选项。例如,是否发布 CRL。
  • 签名密钥的算法和大小
  • CA 主题和 SAN
  • 到期日期和有效期
  • 标签
  • 客户管理的 Cloud Storage 存储桶,用于 CRL 和 AIA。
  • 客户管理的 CA 密钥
  • CA 证书扩展
  • CA 名称

实现更高的 QPS

Certificate Authority Service 会对您可以发送的请求数量施加限制。例如,DevOps CA 的 createCertificate 请求的用量限额为 25 QPS

如需提高总有效 QPS,您必须在一个 CA 池中拥有多个 CA。CA 池将传入的证书请求分布到处于 ENABLED state的所有 CA,从而提高总有效 QPS。但是,您仍然可以请求来自 CA 池中的特定 CA 的证书

您可以使用以下公式计算 CA 池允许的 QPS 上限:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

例如,如果 CA 的有效 QPS 为 25 QPS,如果您在一个 CA 池中创建 4 个 CA,则该 CA 池的有效 QPS 为 100 QPS。

如需详细了解如何提高总有效 QPS,请参阅使用 CA 池提高证书创建吞吐量

管理 CA 轮替

CA 池可以具有处于不同状态的 CA。CA 池对 CA 池中已启用 CA 中的工作负载进行证书颁发负载均衡。

CA 池将其中颁发证书的特定 CA 抽象化。当 CA 到期时,CA 池的总有效 QPS 会降低。例如,如果 CA 池有 4 个已启用的 CA,则该 CA 池的总有效 QPS 为 100 QPS。但是,如果 CA 池中的一个 CA 过期,则总有效 QPS 会降至 75 QPS。为了确保 CA 池的总有效 QPS 在 CA 到期时不受影响,您必须在现有 CA 到期之前创建新的 CA。

如需了解详情,请参阅轮替 CA 池中的 CA

如需了解如何申请增加配额,请参阅申请提高配额限制

后续步骤