CA 池概览

证书授权机构 (CA) 池是包含多个 CA 的集合,它具有通用证书颁发政策和 Identity and Access Management (IAM) 政策。CA 池能够轮替信任链,而不中断或停止其负载。

CA 池在创建时为空。如需了解如何向 CA 池添加 CA,请参阅创建根 CA

CA 池会维护受信任的 CA 证书列表。您必须使用证书请求者安装这些受信任的 CA 证书。

CA 池中 CA 的属性

下表列出了 CA 池中所有 CA 必须相同、可以不同和必须不同的功能。

对于 CA 池中的所有 CA,必须相同 对于 CA 池中的所有 CA,可以各不相同 对于 CA 池中的所有 CA,必须各不相同
  • 证书颁发政策
  • IAM Conditions
  • 层级
  • 位置
  • 发布选项。例如,是否发布 CRL。
  • 签名密钥的算法和大小
  • CA 主题和 SAN
  • 失效日期和有效期
  • 标签
  • 用于 CRL 和 AIA 的客户管理的 Cloud Storage 存储桶。
  • 客户管理的 CA 密钥
  • CA 证书扩展
  • CA 名称

实现更高的 QPS

Certificate Authority Service 会强制执行对您可以发送的请求数量的限制。例如,DevOps CA 的 createCertificate 请求的用量限额为 25 QPS

如需提高总有效 QPS,您必须在 CA 池中拥有多个 CA。CA 池通过在ENABLED 状态下的所有 CA 之间分配传入的证书请求,来提高总有效 QPS。不过,您仍然可以从 CA 池中的特定 CA 请求证书

您可以使用以下公式计算 CA 池允许的 QPS 上限:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

例如,如果某个 CA 的有效 QPS 为 25 QPS,并且您在 CA 池中创建了 4 个 CA,则该 CA 池的总有效 QPS 为 100 QPS。

如需详细了解如何实现更高的总有效 QPS,请参阅使用 CA 池提高证书创建吞吐量

管理 CA 轮替

一个 CA 池可以包含处于不同状态的 CA。CA 池可在 CA 池中已启用的 CA 之间对工作负载的证书颁发进行负载平衡。

CA 池会抽象化其中颁发证书的特定 CA。当 CA 过期时,CA 池的总有效 QPS 会降低。例如,如果某个 CA 池有 4 个已启用的 CA,则该 CA 池的总有效 QPS 为 100 QPS。但如果 CA 池中的一个 CA 过期,总有效 QPS 会降至 75 QPS。为确保 CA 池的总有效 QPS 在 CA 过期时不受影响,您必须在现有 CA 过期之前创建新的 CA。

如需了解详情,请参阅轮替 CA 池中的 CA

如需了解如何申请增加配额,请参阅申请配额调整

后续步骤