Übersicht über CA-Pools

Ein Zertifizierungsstellenpool ist eine Sammlung mehrerer Zertifizierungsstellen mit einer gemeinsamen Richtlinie für das Ausstellen von Zertifikaten sowie einer IAM-Richtlinie (Identity and Access Management). CA-Pools bieten die Möglichkeit, Vertrauensketten ohne Ausfallzeiten für die zugehörigen Nutzlasten zu rotieren.

Ein CA-Pool ist leer, wenn Sie ihn erstellen. Informationen zum Hinzufügen einer CA zu einem CA-Pool finden Sie unter Root-CA erstellen.

Im CA-Pool wird eine Liste vertrauenswürdiger CA-Zertifikate verwaltet. Sie müssen diese vertrauenswürdigen CA-Zertifikate mit dem Zertifikatanforderer installieren.

Eigenschaften von CAs in einem CA-Pool

In der folgenden Tabelle sind die Funktionen aufgeführt, die für alle Zertifizierungsstellen in einem Zertifizierungsstellenpool gleich, unterschiedlich oder unterschiedlich sein müssen.

Muss für alle CAs in einem CA-Pool gleich sein	Kann für alle CAs in einem CA-Pool unterschiedlich sein	Muss sich für alle CAs in einem CA-Pool unterscheiden
Richtlinien zur Zertifikatsausstellung IAM-Bedingungen Stufe Standort Veröffentlichungsoptionen. Beispiel: ob eine CRL veröffentlicht werden soll.	Algorithmen und Größen von Signierschlüsseln CA-Antragsteller und SANs Ablaufdatum und Gültigkeitszeitraum Labels Vom Kunden verwalteter Cloud Storage-Bucket für CRL und AIA. Vom Kunden verwaltete CA-Schlüssel CA-Zertifikatserweiterungen	CA-Name

Mehr Abfragen pro Sekunde erreichen

Der Certificate Authority Service erzwingt Limits für die Anzahl der Anfragen, die Sie senden können. Das Nutzungslimit für die Anfrage createCertificate für eine DevOps-CA beträgt beispielsweise 25 QPS.

Um die effektive Gesamt-QPS zu erhöhen, müssen Sie mehrere CAs in einem CA-Pool haben. Ein CA-Pool erhöht die effektive Gesamt-QPS, indem die eingehenden Zertifikatsanfragen auf alle CAs im ENABLED Status verteilt werden. Sie können jedoch weiterhin Zertifikate von einer bestimmten Zertifizierungsstelle im CA-Pool anfordern.

Mit der folgenden Formel können Sie die maximal zulässige Anzahl von Abfragen pro Sekunde für einen CA-Pool berechnen:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Wenn die effektive QPS für eine CA beispielsweise 25 QPS beträgt und Sie vier CAs in einem CA-Pool erstellen, beträgt die gesamte effektive QPS des CA-Pools 100 QPS.

Weitere Informationen zum Erreichen eines höheren effektiven Gesamt-QPS finden Sie unter Durchsatz bei der Zertifikaterstellung mit einem CA-Pool erhöhen.

CA-Rotation verwalten

Ein CA-Pool kann Zertifizierungsstellen mit unterschiedlichen Status enthalten. Ein CA-Pool führt einen Lastenausgleich für die Zertifikatsausstellung für Arbeitslasten über die aktivierten CAs in einem CA-Pool durch.

Der CA-Pool abstrahiert die darin enthaltenen spezifischen CAs, die Zertifikate ausstellen. Wenn eine Zertifizierungsstelle abläuft, wird die effektive Gesamt-QPS des CA-Pools reduziert. Wenn ein CA-Pool beispielsweise vier aktivierte CAs hat, beträgt die effektive Gesamt-QPS für diesen CA-Pool 100 QPS. Wenn jedoch eine CA im CA-Pool abläuft, wird die effektive Gesamt-QPS auf 75 QPS reduziert. Damit die effektive Gesamt-QPS des CA-Pools beim Ablauf einer CA nicht beeinträchtigt wird, müssen Sie eine neue CA erstellen, bevor die vorhandene CA abläuft.

Weitere Informationen finden Sie unter Zertifizierungsstellen in einem CA-Pool rotieren.

Informationen zum Anfordern einer Kontingenterhöhung finden Sie unter Kontingentanpassung anfordern.

Nächste Schritte

• Weitere Informationen zum Arbeiten mit Kontingenten
• Informationen zum Erstellen eines CA-Pools
• CA-Pool aktualisieren und löschen