CA ローテーションの管理

このページでは、CA プール内の CA のローテーションを管理する方法について説明します。CA プールの詳細については、CA プールの概要をご覧ください。

シームレスな CA ローテーションを保証する

シームレスな CA ローテーションを保証することは、サービスのダウンタイムを回避する場合や、緊急時に対処するうえで不可欠です。次の手順では、CA をシームレスにローテーションする方法を説明します。

  1. 期限切れとなる既存の CA の CA プールを見つけます。
  2. 同じ CA プールに CA を作成します。 CA は STAGED 状態に作成され、CA プールのロード バランシングを介して証明書を発行できません。STAGED 状態の CA は、クライアントから直接リクエストされた場合にのみ証明書を発行できます。CA の状態について詳しくは、CA の状態をご覧ください。

  3. すべてのクライアントが CA プールから最新の CA 証明書セットをダウンロードしていることを確認します。

  4. 新しい CA の状態を ENABLED に変更します。これにより、古い CA と新しい CA の両方から証明書を発行できるようになります。認証局の有効化については、CA の有効化をご覧ください。

  5. 古い CA の状態を DISABLED に変更します。これにより、古い CA によって証明書が発行されなくなります。認証局の無効化については、CA を無効にするをご覧ください。

  6. すべてのクライアントが古い CA から発行された証明書の使用を停止するまで待ちます。それには、次の 2 つの方法があります。

    • 証明書の最大の有効期間まで待ちます。
    • クライアントが使用している証明書をモニタリングします。
  7. 古い CA を削除します。CA の削除の詳細については、認証局の削除をご覧ください。

次のステップ