管理 CA 轮替

本页介绍了如何管理 CA 池中的 CA 轮替。如需详细了解 CA 池,请参阅 CA 池概览

确保顺畅的 CA 轮替

确保顺畅地轮替 CA 对避免服务停机或应对紧急情况至关重要。以下步骤介绍了如何顺畅地轮替 CA。

  1. 找到即将过期的现有 CA 的 CA 池。

  2. 在同一 CA 池中创建 CA。 CA 在 STAGED 状态下创建,无法通过 CA 池负载均衡颁发证书。处于 STAGED 状态的 CA 只能在客户端直接请求时颁发证书。如需详细了解 CA 状态,请参阅 CA 状态

  3. 确保所有客户端都已从 CA 池下载最新的一组 CA 证书。

  4. 将新 CA 的状态更改为 ENABLED。这样可确保可以同时从旧 CA 和新 CA 颁发证书。如需了解如何启用证书授权机构,请参阅启用 CA

  5. 将旧 CA 的状态更改为 DISABLED。这样可确保证书不会由旧 CA 颁发。如需了解如何停用证书授权机构,请参阅停用 CA

  6. 等待所有客户端停止使用旧 CA 颁发的证书。您可以通过以下两种方式确保这一点:

    • 您可以等待证书达到最长生命周期。
    • 您可以监控客户端使用的证书。

  7. 删除旧 CA。如需详细了解如何删除 CA,请参阅删除证书授权机构

后续步骤