CA 池概览

证书授权机构 (CA) 池是包含多个 CA 的集合,它具有通用证书颁发政策和 Identity and Access Management (IAM) 政策。CA 池能够轮替信任链,而不中断或停止其负载。

创建 CA 池时,该池为空。如需了解如何向 CA 池添加 CA,请参阅创建根 CA

CA 池会维护一个受信任的 CA 证书列表。您必须将这些受信任的 CA 证书安装到证书请求方。

CA 池中的 CA 的属性

下表列出了 CA 池中所有 CA 必须相同、可以不同以及必须不同的功能。

CA 池中的所有 CA 必须使用相同的证书 可以针对 CA 池中的所有 CA 设置不同的值 必须与 CA 池中的所有 CA 不同
  • 证书颁发政策
  • IAM Conditions
  • 层级
  • 位置
  • 发布选项。例如,是否发布 CRL。
  • 签名密钥的算法和大小
  • CA 主题和 SAN
  • 失效日期和有效期
  • 标签
  • 用于 CRL 和 AIA 的客户管理的 Cloud Storage 存储分区。
  • 客户管理的 CA 密钥
  • CA 证书扩展
  • CA 名称

实现更高的 QPS

证书授权机构服务会对您可以发送的请求数施加限制。例如,DevOps CA 的 createCertificate 请求的用量限制为 25 个 QPS

如需提高有效 QPS 总数,您必须在 CA 池中包含多个 CA。CA 池通过将传入的证书请求分发到 ENABLED state 中的所有 CA,从而提高有效的总 QPS。不过,您仍然可以从 CA 池中的特定 CA 请求证书

您可以使用以下公式计算 CA 池的允许 QPS 上限:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

例如,如果 CA 的有效 QPS 为 25 QPS,并且您在 CA 池中创建了 4 个 CA,则 CA 池的有效 QPS 总和为 100 QPS。

如需详细了解如何实现更高的总有效 QPS,请参阅使用 CA 池提高证书创建吞吐量

管理 CA 轮替

CA 池中的 CA 可以处于不同的状态。CA 池会在 CA 池中启用 CA 的情况下,为工作负载负载均衡证书颁发。

CA 池会对其中颁发证书的特定 CA 进行抽象化处理。CA 过期后,CA 池的有效 QPS 总数会减少。例如,如果 CA 池中有 4 个已启用的 CA,则该 CA 池的有效 QPS 总和为 100 QPS。但是,如果 CA 池中的某个 CA 过期,则有效 QPS 总数会减少到 75 QPS。为确保 CA 过期时 CA 池的有效 QPS 总数保持不变,您必须在现有 CA 过期之前创建新的 CA。

如需了解详情,请参阅轮替 CA 池中的 CA

如需了解如何申请增加配额,请参阅申请更高的配额限制

后续步骤