CA ローテーションの管理

このページでは、CA プール内の CA のローテーションを管理する方法について説明します。CA プールの詳細については、CA プールの概要をご覧ください。

シームレスな CA ローテーションを保証する

シームレスな CA ローテーションを保証することは、サービスのダウンタイムを回避する場合や、緊急時に対処するうえで不可欠です。次の手順では、CA をシームレスにローテーションする方法を説明します。

期限切れとなる既存の CA の CA プールを見つけます。
同じ CA プールに CA を作成します。 CA は STAGED 状態に作成され、CA プールのロードバランシングを介して証明書を発行できません。STAGED 状態の CA は、クライアントから直接リクエストされた場合にのみ証明書を発行できます。CA の状態について詳しくは、CA の状態をご覧ください。
すべてのクライアントが CA プールから最新の CA 証明書セットをダウンロードしていることを確認します。

注: すべてのクライアントが新しい証明書を受け取ったことを確認してください。クライアントは fetchCaCerts API を使用して CA 証明書を取得する必要があります。CA プールから最新の証明書セットを自動的にダウンロードするようにクライアントを構成している場合は、すべてのクライアントが新しい証明書を取得するまで待つ必要があります。それ以外の場合は、新しい証明書のセットをクライアントに明示的に公開できます。
新しい CA の状態を ENABLED に変更します。これにより、古い CA と新しい CA の両方から証明書を発行できるようになります。認証局の有効化については、CA の有効化をご覧ください。

注: 新しい証明書が停止していないことを確認するために、待機して環境をしてモニタリングできるようになりました。
古い CA の状態を DISABLED に変更します。これにより、古い CA によって証明書が発行されなくなります。認証局の無効化については、CA を無効にするをご覧ください。

注: DISABLED 状態の CA は、引き続きクライアントによって信頼され、CA プールのトラストアンカーで提供されます。
すべてのクライアントが古い CA から発行された証明書の使用を停止するまで待ちます。それには、次の 2 つの方法があります。
- 証明書の最大の有効期間まで待ちます。
- クライアントが使用している証明書をモニタリングします。
古い CA を削除します。CA の削除の詳細については、認証局の削除をご覧ください。

次のステップ

CA の状態について学習する。
CA の状態を管理する方法を学習する。
CA を更新する方法を学習する。