Cette page a été traduite par l'API Cloud Translation.

Gérer la rotation des autorités de certification

Cette page explique comment gérer la rotation d'une autorité de certification dans un pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.

Assurer une rotation fluide des autorités de certification

Il est essentiel d'assurer une rotation fluide des autorités de certification pour éviter les temps d'arrêt des services ou pour gérer une urgence. La procédure suivante explique comment effectuer une rotation fluide d'une autorité de certification.

Recherchez le pool d'autorités de certification pour l'autorité de certification existante qui doit expirer.
Créez une autorité de certification dans le même pool d'autorités de certification. L'autorité de certification est créée à l'état STAGED et ne peut pas émettre de certificats via l'équilibrage de charge du pool d'autorités de certification. Les autorités de certification à l'état STAGED ne peuvent émettre des certificats que sur demande directe par les clients. Pour en savoir plus sur les états de l'autorité de certification, consultez la section États de l'autorité de certification.
Assurez-vous que tous les clients ont téléchargé le dernier ensemble de certificats CA à partir du pool d'autorités de certification.

Remarque :Vérifiez que tous vos clients ont reçu les nouveaux certificats. Les clients doivent utiliser l'API fetchCaCerts pour récupérer les certificats CA. Si vous avez configuré vos clients pour qu'ils téléchargent automatiquement le dernier ensemble de certificats à partir du pool d'autorités de certification, vous devez attendre que tous vos clients obtiennent les nouveaux certificats. Sinon, vous pouvez publier explicitement le nouvel ensemble de certificats sur vos clients.
Définissez l'état de la nouvelle autorité de certification sur ENABLED. Cela garantit que les certificats peuvent être émis à la fois à partir de l'ancienne et de la nouvelle autorité de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez la section Activer une autorité de certification.

Remarque :Pour vous assurer que les nouveaux certificats n'entraînent pas de pannes, vous pouvez maintenant choisir d'attendre et de surveiller votre environnement.
Remplacez l'état de l'ancienne autorité de certification par DISABLED. Cela garantit que les certificats ne seront pas émis par l’ancienne autorité de certification. Pour plus d'informations sur la désactivation des autorités de certification, consultez la section Désactiver une autorité de certification.

Remarque :Les autorités de certification à l'état DISABLED restent approuvées par les clients et fournies dans l'ancre de confiance pour le pool d'autorités de certification.
Attendez que tous les clients aient cessé d'utiliser les certificats émis par l'ancienne autorité de certification. Vous pouvez le vérifier de deux manières:
- Vous pouvez attendre la durée de vie maximale du certificat.
- Vous pouvez surveiller les certificats utilisés par vos clients.
Supprimez l'ancienne autorité de certification. Pour en savoir plus sur la suppression d'une autorité de certification, consultez Supprimer des autorités de certification.

Étapes suivantes

En savoir plus sur les états de l'autorité de certification
Découvrez comment gérer les états des autorités de certification.
Découvrez comment mettre à jour les autorités de certification.