Como gerenciar a rotação de CA

Nesta página, explicamos como gerenciar a rotação de uma AC em um pool de ACs. Para mais informações sobre pools de CAs, consulte Visão geral de pools de CA.

Garanta a rotação contínua de CAs

Garantir a rotação contínua de CAs é essencial para evitar a inatividade do serviço ou para lidar com uma emergência. O procedimento a seguir explica como alternar uma CA sem problemas.

  1. Encontre o pool de ACs da AC que está prestes a expirar.

  2. Crie uma AC no mesmo pool de ACs. A CA é criada no estado STAGED e não pode emitir certificados por meio do balanceamento de carga do pool de CAs. As CAs no estado STAGED só podem emitir certificados quando solicitadas diretamente pelos clientes. Consulte Estados de CA para saber mais.

  3. Verifique se todos os clientes fizeram o download do conjunto mais recente de certificados de CA do pool.

  4. Mude o estado da nova CA para ENABLED. Isso garante que os certificados possam ser emitidos pela CA antiga e pela nova. Para informações sobre como ativar autoridades de certificação, consulte Ativar uma CA.

  5. Mude o estado da CA antiga para DISABLED. Isso garante que os certificados só possam ser emitidos pela nova CA. Para informações sobre como desativar autoridades de certificação, consulte Desativar uma CA.

  6. Aguarde até que todos os clientes parem de usar os certificados emitidos da CA antiga. Você pode garantir isso de duas maneiras:

    • É possível aguardar o ciclo de vida máximo do certificado.
    • É possível monitorar os certificados usados pelos seus clientes.

  7. Exclua a CA antiga. Para mais informações sobre como excluir uma CA, consulte Excluir autoridades de certificação.

A seguir