Esta página foi traduzida pela API Cloud Translation.

Como gerenciar a rotação de CA

Nesta página, explicamos como gerenciar a rotação de uma AC em um pool de ACs. Para mais informações sobre pools de CAs, consulte Visão geral de pools de CA.

Garanta a rotação contínua da CA

Garantir a rotação contínua de CA é essencial para evitar a inatividade do serviço ou para lidar com uma emergência. O procedimento a seguir explica como fazer a rotação de uma AC sem problemas.

Encontre o pool de ACs para a AC que está prestes a expirar.
Crie uma AC no mesmo pool de AC. A AC é criada no estado STAGED e não pode emitir certificados por meio do balanceamento de carga do pool de ACs. As ACs no estado STAGED só podem emitir certificados quando solicitadas diretamente pelos clientes. Para mais informações sobre estados de CA, consulte Estados de CA.
Verifique se todos os clientes fizeram o download do conjunto mais recente de certificados de AC do pool de AC.

Observação: verifique se todos os seus clientes receberam os novos certificados. Os clientes precisam usar a API fetchCaCerts para recuperar os certificados de CA. Se você tiver configurado seus clientes para fazer o download automático do conjunto de certificados mais recente do pool de ACs, precisará aguardar até que todos os clientes recebam os novos certificados. Caso contrário, será possível publicar explicitamente o novo conjunto de certificados para seus clientes.
Mude o estado da nova CA para ENABLED. Isso garante que os certificados possam ser emitidos pela CA antiga e pela nova. Para informações sobre como ativar autoridades de certificação, consulte Ativar uma CA.

Observação :para garantir que os novos certificados não causem interrupções, agora você pode aguardar e monitorar o ambiente.
Mude o estado da AC antiga para DISABLED. Isso garante que os certificados não sejam emitidos pela CA antiga. Para informações sobre como desativar autoridades de certificação, consulte Desativar uma CA.

Observação :as ACs no estado DISABLED ainda são confiáveis para os clientes e são fornecidas na âncora de confiança do pool de ACs.
Aguarde até que todos os clientes parem de usar os certificados emitidos pela AC antiga. É possível garantir isso de duas maneiras:
- Aguarde o ciclo de vida máximo do certificado.
- É possível monitorar os certificados usados pelos seus clientes.
Exclua a AC antiga. Para mais informações sobre como excluir uma CA, consulte Excluir autoridades de certificação.

A seguir

Saiba mais sobre os estados de CA.
Saiba como gerenciar os estados de CA.
Saiba como atualizar as ACs.