CA ローテーションの管理

このページでは、CA プール内の CA のローテーションを管理する方法について説明します。CA プールの詳細については、CA プールの概要をご覧ください。

シームレスな CA ローテーションを保証する

シームレスな CA ローテーションを保証することは、サービスのダウンタイムを回避する場合や、緊急時に対処するうえで不可欠です。次の手順では、CA をシームレスにローテーションする方法について説明します。

  1. 期限切れになる既存の CA の CA プールを確認します。
  2. 同じ CA プールに CA を作成します。 CA は STAGED 状態に作成され、CA プールのロード バランシングを介して証明書を発行できません。STAGED 状態の CA は、クライアントから直接リクエストされた場合にのみ証明書を発行できます。CA の状態について詳しくは、CA の状態をご覧ください。

  3. すべてのクライアントが CA プールから最新の CA 証明書セットをダウンロードしていることを確認します。

  4. 新しい CA の状態を ENABLED に変更します。これにより、古い CA と新しい CA の両方から証明書を発行できます。認証局の有効化については、CA を有効にするをご覧ください。

  5. 古い CA の状態を DISABLED に変更します。これにより、古い CA から証明書が発行されなくなります。認証局の無効化については、CA を無効にするをご覧ください。

  6. すべてのクライアントが古い CA から発行された証明書の使用を停止するまで待ちます。次の 2 つの方法で確認できます。

    • 証明書の最大の有効期間まで待ちます。
    • クライアントが使用している証明書をモニタリングします。
  7. 古い CA を削除します。CA の削除の詳細については、認証局を削除するをご覧ください。

次のステップ