Esta página foi traduzida pela API Cloud Translation.

Como gerenciar a rotação de CA

Nesta página, explicamos como gerenciar a rotação de uma AC em um pool de ACs. Para mais informações sobre pools de ACs, consulte Visão geral de pools de AC.

Garanta uma rotação de AC contínua

Garantir a rotação perfeita de CA é essencial para evitar inatividade do serviço ou para lidar com uma emergência. O procedimento a seguir explica como fazer a rotação de uma CA sem problemas.

Encontre o pool de ACs da AC que está prestes a expirar.
Crie uma AC no mesmo pool de ACs. A AC é criada no estado STAGED e não pode emitir certificados por meio do balanceamento de carga do pool de ACs. As ACs no estado STAGED só podem emitir certificados quando solicitadas diretamente pelos clientes. Para mais informações sobre os estados da AC, consulte Estados da AC.
Verifique se todos os clientes fizeram o download do conjunto mais recente de certificados de CA do pool de ACs.

Observação: verifique se todos os seus clientes receberam os novos certificados. Os clientes precisam usar a API fetchCaCerts para recuperar os certificados de CA. Se você configurou seus clientes para fazer o download automático do conjunto mais recente de certificados do pool de ACs, terá que esperar até que todos os seus clientes recebam os novos certificados. Caso contrário, será possível publicar explicitamente o novo conjunto de certificados para seus clientes.
Mude o estado da nova AC para ENABLED. Isso garante que os certificados possam ser emitidos tanto da CA antiga quanto da nova. Para informações sobre como ativar autoridades certificadoras, consulte Ativar uma AC.

Observação :para garantir que os novos certificados não estejam causando interrupções, agora você pode aguardar e monitorar seu ambiente.
Mude o estado da AC antiga para DISABLED. Isso garante que os certificados não serão emitidos pela AC antiga. Para informações sobre como desativar autoridades de certificado, consulte Desativar uma AC.

Observação: as ACs no estado DISABLED ainda são confiáveis para os clientes e são fornecidas na âncora de confiança do pool de ACs.
Aguarde até que todos os clientes parem de usar os certificados emitidos pela CA antiga. Isso pode ser feito de duas maneiras:
- Aguarde o ciclo de vida máximo do certificado.
- É possível monitorar os certificados usados pelos seus clientes.
Exclua a AC antiga. Para mais informações sobre como excluir uma CA, consulte Excluir autoridades certificadoras.

A seguir

Saiba mais sobre os estados da CA.
Saiba como gerenciar estados da AC.
Saiba como atualizar ACs.