Se usó la API de Cloud Translation para traducir esta página.

Administrar la rotación de CA

En esta página, se explica cómo puedes administrar la rotación de una AC en un grupo de AC. Para ver más para obtener más información sobre los grupos de AC, consulta Descripción general de los grupos de AC.

Cómo garantizar una rotación de AC sin problemas

Garantizar una rotación de AC sin problemas es esencial para evitar el tiempo de inactividad del servicio o para abordar una emergencia. En el siguiente procedimiento, se explica cómo rotar una AC sin problemas.

Busca el grupo de AC de la AC existente que está por vencer.
Crea una AC en el mismo grupo de AC. La AC se crea en el estado STAGED y no puede emitir certificados a través del balanceo de cargas del grupo de AC. Las AC con el estado STAGED solo pueden emitir certificados cuando los clientes los soliciten directamente. Para obtener más información sobre los estados de CA, consulta Estados de CA.
Asegúrate de que todos los clientes hayan descargado el conjunto más reciente de certificados de AC del grupo de AC.

Nota: Verifica que todos tus clientes hayan recibido los certificados nuevos. Los clientes deben usar la API fetchCaCerts para recuperar los certificados de la AC. Si configuraste tus clientes para que descarguen automáticamente el conjunto más reciente de certificados del grupo de AC, debes esperar hasta que todos tus clientes obtengan los certificados nuevos. De lo contrario, puedes publicar de forma explícita el nuevo conjunto de certificados a tus clientes.
Cambia el estado de la AC nueva a ENABLED. Esto garantiza que los certificados puedan emitirse tanto desde la AC antigua como desde la nueva. Para obtener información sobre cómo habilitar autoridades certificadoras, consulta Cómo habilitar una AC.

Nota: Para asegurarte de que los certificados nuevos no causen interrupciones, ahora puedes esperar y supervisar tu entorno.
Cambia el estado de la AC anterior a DISABLED. Esto garantiza que la AC anterior no emita certificados. Para obtener información sobre cómo inhabilitar autoridades certificadoras, consulta Cómo inhabilitar una AC.

Nota: Los clientes aún confían en las AC en el estado DISABLED y las proporcionan en el ancla de confianza del grupo de AC.
Espera hasta que todos los clientes dejen de usar los certificados emitidos por la AC anterior. Puedes asegurarte de ello de dos maneras:
- Puedes esperar el tiempo de vida máximo del certificado.
- Puedes supervisar los certificados que usan tus clientes.
Borra la AC anterior. Para obtener más información sobre cómo borrar una AC, consulta Borra autoridades certificadoras.

¿Qué sigue?

Obtén más información sobre los estados de AC.
Obtén más información para administrar estados de AC.
Obtén información para actualizar las AC.