Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los grupos de CA

Un grupo de autoridad certificadora (AC) es un conjunto de varias AC con una política común de emisión de certificados y de Identity and Access Management (IAM). Los grupos de AC ofrecen la capacidad de rotar cadenas de confianza sin interrupciones ni tiempos de inactividad en las cargas útiles.

Un grupo de CA está vacío cuando lo creas. Para obtener información sobre cómo agregar una CA a un grupo de CA, consulta Crea una CA raíz.

El grupo de AC mantiene una lista de certificados de AC de confianza. Debes instalar estos certificados de CA de confianza con el solicitante del certificado.

Propiedades de las CA en un grupo de CA

En la siguiente tabla, se enumeran las características que deben ser iguales, pueden ser diferentes y deben ser diferentes para todas las CAs de un grupo de CAs.

Debe ser el mismo para todas las CA de un grupo de CA.	Puede ser diferente para todas las CA de un grupo de CA.	Debe ser diferente para todas las CA de un grupo de CA.
Políticas de emisión de certificados Condiciones de IAM Nivel Ubicación Opciones de publicación Por ejemplo, si se debe publicar una CRL.	Algoritmos y tamaños de las claves de firma Asuntos y SAN de la CA Fecha de vencimiento y período de validez Etiquetas Es el bucket de Cloud Storage administrado por el cliente que se usa para la CRL y la AIA. Claves de CA administradas por el cliente Extensiones de certificados de CA	Nombre de la CA

Lograr un QPS más alto

Certificate Authority Service aplica límites en la cantidad de solicitudes que puedes enviar. Por ejemplo, el límite de uso para la solicitud createCertificate de una AC de DevOps es de 25 QPS.

Para aumentar tus QPS efectivas totales, debes tener varias CA en un grupo de CA. Un grupo de CA aumenta el total de QPS efectivas, ya que distribuye las solicitudes de certificados entrantes entre todas las CA en el ENABLED estado. Sin embargo, aún puedes solicitar certificados de una CA específica en el grupo de CA.

Puedes usar la siguiente fórmula para calcular la cantidad máxima de QPS permitida para un grupo de CA:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por ejemplo, si las QPS efectivas para una CA son 25 y creas 4 CA en un grupo de CA, las QPS efectivas totales del grupo de CA son 100.

Para obtener más información sobre cómo lograr un mayor QPS efectivo total, consulta Aumenta la capacidad de procesamiento de la creación de certificados con un grupo de AC.

Administra la rotación de la CA

Un grupo de CA puede tener CA en diferentes estados. Un grupo de AC balancea la carga de la emisión de certificados para las cargas de trabajo en las AC habilitadas en un grupo de AC.

El grupo de CA abstrae las CA específicas que contiene y que emiten certificados. Cuando vence una CA, se reduce el QPS efectivo total del grupo de CA. Por ejemplo, si un grupo de AC tiene 4 AC habilitadas, el QPS efectivo total para ese grupo de AC es de 100 QPS. Sin embargo, si vence una AC del grupo de AC, la cantidad total de QPS efectivas se reduce a 75. Para garantizar que la cantidad total de QPS efectivas del grupo de CA no se vea afectada cuando venza una CA, debes crear una CA nueva antes de que venza la CA existente.

Para obtener más información, consulta Rota las CA en un grupo de CA.

Si deseas obtener información para solicitar un aumento de la cuota, consulta Solicita un ajuste de la cuota.

¿Qué sigue?

Obtén más información para trabajar con cuotas.
Obtén más información para crear un grupo de CA.
Obtén más información para actualizar y borrar un grupo de CA.