Información general sobre los grupos de autoridades de certificación
Un grupo de autoridades de certificación (CA) es un conjunto de varias CAs con una política de emisión de certificados y una política de gestión de identidades y accesos (IAM) comunes. Los CA pools permiten rotar las cadenas de confianza sin que se produzcan interrupciones ni tiempos de inactividad en sus cargas útiles.
Cuando creas un grupo de autoridades de certificación, está vacío. Para obtener información sobre cómo añadir una AC a un grupo de ACs, consulta Crear una AC raíz.
El grupo de AC mantiene una lista de certificados de AC de confianza. Debes instalar estos certificados de AC de confianza con el solicitante del certificado.
Propiedades de las autoridades de certificación de un grupo de autoridades de certificación
En la siguiente tabla se enumeran las funciones que deben ser iguales, las que pueden ser diferentes y las que deben ser diferentes para todas las autoridades de certificación de un grupo de autoridades de certificación.
| Debe ser el mismo para todas las autoridades de certificación de un grupo de autoridades de certificación | Puede ser diferente para todas las autoridades de certificación de un grupo de autoridades de certificación | Debe ser diferente para todas las autoridades de certificación de un grupo de autoridades de certificación |
|---|---|---|
|
|
|
Obtener un CPS más alto
Certificate Authority Service aplica límites al número de solicitudes que puedes enviar. Por ejemplo, el límite de uso de la solicitud createCertificate de una AC de DevOps es de 25 QPS.
Para aumentar el número total de consultas por segundo efectivas, debes tener varias autoridades de certificación en un grupo de autoridades de certificación. Un grupo de ACs aumenta el total de CPS efectivos al distribuir las solicitudes de certificados entrantes entre todas las ACs en el estado ENABLED
. Sin embargo, puedes solicitar certificados de una AC concreta del grupo de ACs.
Puede usar la siguiente fórmula para calcular el número máximo de consultas por segundo permitidas en un grupo de CAs:
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
Por ejemplo, si las consultas por segundo efectivas de una autoridad de certificación son 25 y creas 4 autoridades de certificación en un grupo de autoridades de certificación, el total de consultas por segundo efectivas del grupo será de 100.
Para obtener más información sobre cómo conseguir un QPS efectivo total más alto, consulta Aumentar el rendimiento de la creación de certificados con un grupo de CAs.
Gestionar la rotación de autoridades de certificación
Un grupo de CAs puede tener CAs en diferentes estados. Un pool de ACs equilibra la carga de la emisión de certificados para las cargas de trabajo entre las ACs habilitadas de un pool de ACs.
El grupo de ACs abstrae las ACs específicas que emiten certificados. Cuando caduca una AC, se reduce el total de consultas por segundo efectivas del grupo de ACs. Por ejemplo, si un pool de CAs tiene 4 CAs habilitadas, el total de consultas por segundo efectivas de ese pool de CAs es de 100. Sin embargo, si caduca una AC del grupo de ACs, el total de CPS efectivos se reduce a 75 CPS. Para asegurarte de que el total de las CPS efectivas del grupo de CAs no se vea afectado cuando caduque una CA, debes crear una nueva CA antes de que caduque la actual.
Para obtener más información, consulta Rotar CAs en un grupo de CAs.
Para obtener información sobre cómo solicitar un aumento de cuota, consulta Solicitar un ajuste de cuota.
Siguientes pasos
- Consulta cómo trabajar con cuotas.
- Consulta cómo crear un grupo de CAs.
- Consulta cómo actualizar y eliminar un grupo de CAs.