Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione della rotazione delle autorità di certificazione

Questa pagina spiega come gestire la rotazione di una CA in un pool di CA. Per ulteriori informazioni sui pool di CA, consulta la Panoramica dei pool di CA.

Garantire una rotazione senza problemi delle CA

Garantire una rotazione fluida delle CA è essenziale per evitare tempi di inattività del servizio o per gestire un'emergenza. La procedura seguente spiega come ruotare facilmente una CA.

Trova il pool di CA per la CA esistente che sta per scadere.
Crea una CA nello stesso pool di CA. La CA viene creata nello stato STAGED e non può emettere certificati tramite il bilanciamento del carico del pool di CA. Le CA in stato STAGED possono emettere certificati solo quando richiesto direttamente dai client. Per ulteriori informazioni sugli stati dell'autorità di certificazione, consulta la pagina relativa agli stati CA.
Assicurati che tutti i client abbiano scaricato l'ultimo insieme di certificati CA dal pool di CA.

Nota: verifica che tutti i tuoi clienti abbiano ricevuto i nuovi certificati. I client devono utilizzare l'API fetchCaCerts per recuperare i certificati CA. Se hai configurato i tuoi client in modo da scaricare automaticamente l'ultimo set di certificati dal pool di CA, devi attendere che tutti i client ricevano i nuovi certificati. In caso contrario, puoi pubblicare esplicitamente il nuovo insieme di certificati per i tuoi client.
Cambia lo stato della nuova CA in ENABLED. In questo modo, i certificati possono essere emessi sia dalla vecchia che dalla nuova CA. Per informazioni sull'abilitazione delle autorità di certificazione, vedi Attivare un'autorità di certificazione.

Nota: per assicurarti che i nuovi certificati non causino interruzioni, ora puoi scegliere di attendere e monitorare il tuo ambiente.
Modifica lo stato della vecchia CA in DISABLED. In questo modo, i certificati non verranno emessi dalla vecchia CA. Per informazioni su come disattivare le autorità di certificazione, vedi Disattivare un'autorità di certificazione.

Nota: le CA nello stato DISABLED sono ancora considerate attendibili dai client e fornite nell'ancora di attendibilità per il pool di CA.
Attendi che tutti i client smettano di utilizzare i certificati emessi dalla CA precedente. Puoi farlo in due modi:
- Puoi attendere la durata massima del certificato.
- Puoi monitorare i certificati utilizzati dai tuoi clienti.
Elimina la CA precedente. Per ulteriori informazioni sull'eliminazione di una CA, vedi Eliminare le autorità di certificazione.

Passaggi successivi

Scopri di più sugli stati delle CA.
Scopri come gestire gli stati della CA.
Scopri come aggiornare le CA.