Esta página foi traduzida pela API Cloud Translation.

Vista geral dos conjuntos de ACs

Um conjunto de autoridades de certificação (ACs) é uma coleção de várias ACs com uma política de emissão de certificados e uma política de gestão de identidade e de acesso (IAM) comuns. Os conjuntos de CA permitem a rotação das cadeias de confiança sem qualquer interrupção ou tempo de inatividade para os respetivos payloads.

Um conjunto de CAs está vazio quando o cria. Para obter informações sobre como adicionar uma AC a um conjunto de ACs, consulte o artigo Crie uma AC de raiz.

O conjunto de ACs mantém uma lista de certificados da AC fidedignos. Tem de instalar estes certificados da AC fidedignos com o requerente do certificado.

Propriedades das ACs num conjunto de ACs

A tabela seguinte indica as funcionalidades que têm de ser iguais, podem ser diferentes e têm de ser diferentes para todas as ACs num conjunto de ACs.

Tem de ser o mesmo para todas as ACs num conjunto de ACs	Pode ser diferente para todas as ACs num conjunto de ACs	Tem de ser diferente para todas as ACs num conjunto de ACs
Políticas de emissão de certificados Condições do IAM Nível Location Opções de publicação. Por exemplo, se deve publicar uma CRL.	Algoritmos e tamanhos das chaves de assinatura Assuntos e SANs da AC Data de validade e período de validade Etiquetas Contentor do Cloud Storage gerido pelo cliente usado para CRL e AIA. Chaves de CA geridas pelo cliente Extensões de certificados da AC	Nome da CA

Alcance um valor de CPS mais elevado

O serviço de autoridade de certificação aplica limites ao número de pedidos que pode enviar. Por exemplo, o limite de utilização do pedido createCertificate para uma CA de DevOps é de 25 QPS.

Para aumentar o total de QPS efetivas, tem de ter várias CAs num conjunto de CAs. Um conjunto de ACs aumenta o total de QPS eficazes através da distribuição dos pedidos de certificados recebidos por todas as ACs no estado ENABLED. No entanto, continua a poder pedir certificados a uma AC específica no conjunto de ACs.

Pode usar a seguinte fórmula para calcular o CPS máximo permitido para um conjunto de CA:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por exemplo, se o CPS efetivo de uma CA for de 25 CPS e criar 4 CAs num conjunto de CAs, o CPS efetivo total do conjunto de CAs é de 100 CPS.

Para mais informações sobre como alcançar um QPS efetivo total mais elevado, consulte o artigo Aumente o débito de criação de certificados com um conjunto de ACs.

Faça a gestão da rotação da AC

Um conjunto de ACs pode ter ACs em diferentes estados. Um conjunto de ACs equilibra a carga da emissão de certificados para cargas de trabalho nas ACs ativadas num conjunto de ACs.

O conjunto de ACs abstrai as ACs específicas no seu interior que emitem certificados. Quando um CA expira, o total de QPS efetivas do conjunto de CAs é reduzido. Por exemplo, se um conjunto de ACs tiver 4 ACs ativadas, o total de CPS efetivas para esse conjunto de ACs é de 100 CPS. No entanto, se uma AC no conjunto de ACs expirar, o total de QPS eficazes é reduzido para 75 QPS. Para garantir que o total de QPS eficazes do conjunto de ACs permanece inalterado quando uma AC expira, tem de criar uma nova AC antes de a AC existente expirar.

Para mais informações, consulte o artigo Rode as ACs num conjunto de ACs.

Para informações sobre como pedir um aumento da quota, consulte o artigo Pedir um ajuste da quota.

O que se segue?

Saiba como trabalhar com quotas.
Saiba como criar um conjunto de CA.
Saiba como atualizar e eliminar um conjunto de ACs.