CA-Pools – Übersicht
Ein Zertifizierungsstellenpool ist eine Sammlung mehrerer Zertifizierungsstellen mit einer gemeinsamen Richtlinie für das Ausstellen von Zertifikaten sowie einer IAM-Richtlinie (Identity and Access Management). CA-Pools bieten die Möglichkeit, Vertrauensketten ohne Ausfallzeiten für die zugehörigen Nutzlasten zu rotieren.
Ein CA-Pool ist beim Erstellen leer. Informationen zum Hinzufügen einer Zertifizierungsstelle zu einem CA-Pool finden Sie unter Root-CA erstellen.
Der CA-Pool verwaltet eine Liste vertrauenswürdiger CA-Zertifikate. Sie müssen diese vertrauenswürdigen CA-Zertifikate beim Antragsteller auf das Zertifikat installieren.
Eigenschaften von Zertifizierungsstellen in einem CA-Pool
In der folgenden Tabelle sind die Funktionen aufgeführt, die für alle Zertifizierungsstellen in einem CA-Pool gleich sein müssen, unterschiedlich sein können oder unterschiedlich sein müssen.
| Muss für alle CAs in einem CA-Pool identisch sein. | Kann für alle Zertifizierungsstellen in einem CA-Pool unterschiedlich sein. | Muss für alle Zertifizierungsstellen in einem CA-Pool unterschiedlich sein |
|---|---|---|
|
|
|
Mehr Abfragen pro Sekunde erreichen
Der Certificate Authority Service erzwingt Limits für die Anzahl der Anfragen, die Sie senden können. Das Nutzungslimit für die createCertificate-Anfrage für eine DevOps-CA beträgt beispielsweise 25 QPS.
Wenn Sie die effektive Anzahl von Abfragen pro Sekunde insgesamt erhöhen möchten, müssen Sie mehrere CAs in einem CA-Pool haben. Mit einem CA-Pool wird die effektive Gesamtzahl der Anfragen pro Sekunde erhöht, indem die eingehenden Zertifikatsanfragen auf alle CAs im ENABLED
Status verteilt werden. Sie können jedoch weiterhin Zertifikate von einer bestimmten Zertifizierungsstelle im CA-Pool anfordern.
Mit der folgenden Formel können Sie die maximal zulässige Anzahl von Abfragen pro Sekunde für einen CA-Pool berechnen:
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
Wenn die effektive QPS für einen CA beispielsweise 25 QPS beträgt und Sie 4 CAs in einem CA-Pool erstellen, beträgt die effektive Gesamt-QPS des CA-Pools 100 QPS.
Weitere Informationen zum Erzielen einer höheren effektiven Gesamt-QPS finden Sie unter Durchsatz für die Zertifikatserstellung mit einem CA-Pool erhöhen.
CA-Rotation verwalten
Ein Zertifizierungspool kann Zertifizierungsstellen mit unterschiedlichen Zuständen enthalten. Ein CA-Pool gleicht die Zertifikatsausstellung für Arbeitslasten über die aktivierten Zertifizierungsstellen in einem CA-Pool aus.
Der CA-Pool stellt die einzelnen Zertifizierungsstellen dar, die Zertifikate ausstellen. Wenn eine CA abläuft, wird die effektive Gesamtzahl der Abfragen pro Sekunde des CA-Pools reduziert. Wenn ein CA-Pool beispielsweise vier aktivierte CAs hat, beträgt die effektive Gesamtzahl der Abfragen pro Sekunde für diesen CA-Pool 100 Abfragen pro Sekunde. Wenn jedoch ein CA im CA-Pool abläuft, wird die effektive Gesamtzahl der Abfragen pro Sekunde auf 75 QPS reduziert. Damit die effektive Gesamt-QPS des CA-Pools beim Ablauf einer Zertifizierungsstelle nicht beeinträchtigt wird, müssen Sie vor Ablauf der vorhandenen Zertifizierungsstelle eine neue erstellen.
Weitere Informationen finden Sie unter Zertifizierungsstellen in einem CA-Pool rotieren.
Informationen zum Anfordern einer Kontingenterhöhung finden Sie unter Höheres Kontingent anfordern.
Nächste Schritte
- Weitere Informationen zum Arbeiten mit Kontingenten
- Weitere Informationen zum Erstellen eines CA-Pools
- Weitere Informationen zum Aktualisieren und Löschen eines CA-Pools