Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione della rotazione delle autorità di certificazione

In questa pagina viene spiegato come gestire la rotazione di una CA in un pool di CA. Per saperne di più sui pool di CA, consulta Panoramica dei pool di CA.

Garantisci una rotazione uniforme delle CA

Garantire una rotazione perfetta delle CA è essenziale per evitare tempi di inattività del servizio o per gestire un'emergenza. La procedura seguente spiega come ruotare senza problemi una CA.

Individua il pool di CA per la CA esistente che sta per scadere.
Crea una CA nello stesso pool di CA. La CA viene creata nello stato STAGED e non può emettere certificati tramite il bilanciamento del carico del pool di CA. Le CA in stato STAGED possono emettere certificati solo quando richiesto direttamente dai client. Per ulteriori informazioni sugli stati dell'autorità di certificazione, consulta la sezione Stati CA.
Assicurati che tutti i client abbiano scaricato l'ultimo set di certificati CA dal pool di CA.

Nota: verifica che tutti i client abbiano ricevuto i nuovi certificati. I client devono utilizzare l'API fetchCaCerts per recuperare i certificati CA. Se hai configurato i tuoi client in modo da scaricare automaticamente l'ultimo set di certificati dal pool di CA, devi attendere che tutti i client ricevano i nuovi certificati. In caso contrario, puoi pubblicare esplicitamente il nuovo insieme di certificati per i tuoi client.
Cambia lo stato della nuova CA in ENABLED. In questo modo, i certificati possono essere emessi sia dalla vecchia che dalla nuova CA. Per informazioni sull'abilitazione delle autorità di certificazione, vedi Attivare un'autorità di certificazione.

Nota: per assicurarti che i nuovi certificati non causino interruzioni, ora puoi scegliere di attendere e monitorare il tuo ambiente.
Cambia lo stato della CA precedente in DISABLED. In questo modo, i certificati non verranno emessi dalla CA precedente. Per informazioni sulla disattivazione delle autorità di certificazione, vedi Disattivare un'autorità di certificazione.

Nota: le CA nello stato DISABLED sono ancora attendibili dai client e fornite nel trust anchor per il pool di CA.
Attendi che tutti i client smettano di utilizzare i certificati emessi dalla CA precedente. Puoi farlo in due modi:
- Puoi attendere la durata massima del certificato.
- Puoi monitorare i certificati utilizzati dai client.
Elimina la CA precedente. Per ulteriori informazioni sull'eliminazione di una CA, vedi Eliminare le autorità di certificazione.

Passaggi successivi

Scopri di più sugli stati della California.
Scopri come gestire gli stati dell'autorità di certificazione.
Scopri come aggiornare le CA.