Cette page a été traduite par l'API Cloud Translation.

Présentation des pools de CA

Un pool d'autorités de certification est une collection de plusieurs autorités de certification disposant d'une règle d'émission de certificats et d'une stratégie Identity and Access Management (IAM) communes. Les pools d'autorités de certification offrent la possibilité d'alterner les chaînes de confiance sans interruption ni temps d'arrêt pour leur charge utile.

Un pool d'autorités de certification est vide lorsque vous le créez. Pour savoir comment ajouter une autorité de certification à un pool d'autorités de certification, consultez Créer une autorité de certification racine.

Le pool d'autorités de certification gère une liste de certificats d'autorités de certification approuvés. Vous devez installer ces certificats d'autorité de certification approuvés avec le demandeur de certificat.

Propriétés des autorités de certification dans un pool d'autorités de certification

Le tableau suivant répertorie les fonctionnalités qui doivent être identiques, qui peuvent être différentes et qui doivent être différentes pour toutes les autorités de certification d'un pool d'autorités de certification.

Doit être identique pour toutes les autorités de certification d'un pool d'autorités de certification	Peut être différent pour toutes les autorités de certification d'un pool d'autorités de certification	Doit être différent pour toutes les autorités de certification d'un pool d'autorités de certification
Règles d'émission de certificats Conditions IAM Niveau Emplacement Options de publication. Par exemple, si vous devez publier une LRC.	Algorithmes et tailles des clés de signature Objets de l'autorité de certification et SAN Date d'expiration et période de validité Étiquettes Bucket Cloud Storage géré par le client utilisé pour les CRL et les AIA. Clés d'autorité de certification gérées par le client Extensions de certificat CA	Nom de l'autorité de certification

Atteindre un nombre plus élevé de RPS

Certificate Authority Service applique des limites au nombre de requêtes que vous pouvez envoyer. Par exemple, la limite d'utilisation de la requête createCertificate pour une autorité de certification DevOps est de 25 QPS.

Pour augmenter votre nombre total de requêtes par seconde (RPS) efficaces, vous devez disposer de plusieurs autorités de certification dans un pool d'autorités de certification. Un pool d'autorités de certification augmente le nombre total de RPS efficaces en distribuant les demandes de certificat entrantes entre toutes les autorités de certification de l'état ENABLED. Toutefois, vous pouvez toujours demander des certificats à une autorité de certification spécifique du pool d'autorités de certification.

Vous pouvez utiliser la formule suivante pour calculer le nombre maximal de RPS autorisé pour un pool de certificats d'autorité de certification:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Par exemple, si le RPS effectif d'une autorité de certification est de 25 RPS et que vous créez quatre autorités de certification dans un pool d'autorités de certification, le RPS effectif total du pool d'autorités de certification est de 100 RPS.

Pour en savoir plus sur l'augmentation du débit de création de certificats à l'aide d'un pool d'autorités de certification, consultez la section Augmenter le débit de création de certificats à l'aide d'un pool d'autorités de certification.

Gérer la rotation des autorités de certification

Un pool d'autorités de certification peut contenir des autorités de certification dans différents états. Un pool d'autorités de certification équilibre la charge de l'émission de certificats pour les charges de travail entre les autorités de certification activées d'un pool d'autorités de certification.

Le pool d'autorités de certification abstrait les autorités de certification spécifiques qui émettent des certificats. Lorsqu'une autorité de certification expire, le RPS effectif total du pool d'autorités de certification est réduit. Par exemple, si un pool d'autorités de certification comporte quatre autorités de certification activées, le nombre total de RPS effectifs pour ce pool d'autorités de certification est de 100 RPS. Toutefois, si une autorité de certification du pool expire, le nombre total de requêtes par seconde effectives est réduit à 75 RPS. Pour vous assurer que le débit de requêtes par seconde effectif total du pool d'autorités de certification n'est pas affecté lorsque l'une d'elles expire, vous devez créer une nouvelle autorité de certification avant l'expiration de l'autorité de certification existante.

Pour en savoir plus, consultez Effectuer une rotation des autorités de certification dans un pool d'autorités de certification.

Pour savoir comment demander une augmentation de quota, consultez la section Demander une augmentation de limite de quota.

Étape suivante

Découvrez comment utiliser des quotas.
Découvrez comment créer un pool d'autorités de certification.
Découvrez comment mettre à jour et supprimer un pool d'autorités de certification.