CA 集區總覽

憑證授權單位 (CA) 集區內含多個 CA,這些 CA 採用相同的憑證核發政策和 Identity and Access Management (IAM) 政策。憑證授權單位集區提供信任鏈結輪替功能,而且可在無任何酬載服務中斷或停機情形的情況下輪替鏈結。

建立 CA 集區時,集區中不會有任何內容。如要瞭解如何將 CA 新增至 CA 集區,請參閱「建立根 CA」。

CA 集區會維護信任的 CA 憑證清單。您必須使用憑證要求者安裝這些受信任的 CA 憑證。

CA 集區中 CA 的屬性

下表列出 CA 集區中所有 CA 必須相同、可以不同和必須不同的功能。

CA 集區中的所有 CA 必須使用相同值 CA 集區中的所有 CA 都可以不同 CA 集區中的所有 CA 必須使用不同的名稱
  • 憑證核發政策
  • IAM 條件
  • 級別
  • 位置
  • 發布選項。例如是否要發布 CRL。
  • 簽署金鑰的演算法和大小
  • CA 主體和 SAN
  • 到期日和效期
  • 標籤
  • 用於 CRL 和 AIA 的客戶代管 Cloud Storage 值區。
  • 客戶自行管理的 CA 金鑰
  • CA 憑證擴充功能
  • CA 名稱

提高 QPS

憑證授權單位服務會限制您可傳送的要求數量。舉例來說,DevOps CA 的 createCertificate 要求使用量上限為 25 QPS

如要提高有效 QPS 總數,CA 集區中必須有多個 CA。CA 集區會將傳入的憑證要求分配給ENABLED 狀態的所有 CA,藉此提高總有效 QPS。不過,您仍可向 CA 集區中的特定 CA 要求憑證

您可以使用下列公式,計算 CA 集區允許的每秒查詢次數上限:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

舉例來說,如果 CA 的有效 QPS 為 25 QPS,且您在 CA 集區中建立 4 個 CA,則 CA 集區的有效 QPS 總計為 100 QPS。

如要進一步瞭解如何提高總有效 QPS,請參閱「使用 CA 集區提高憑證建立處理量」。

管理 CA 輪替

CA 集區可以包含處於不同狀態的 CA。CA 集區會針對 CA 集區中已啟用的 CA,平衡工作負載的憑證核發作業。

CA 集區會抽象化其中的特定 CA,用於核發憑證。憑證授權單位過期時,憑證授權單位集區的有效 QPS 總數會減少。舉例來說,如果 CA 集區有 4 個已啟用的 CA,該 CA 集區的有效 QPS 總計為 100 QPS。但如果 CA 集區中的一個 CA 過期,有效 QPS 總數就會降至 75 QPS。為確保 CA 集區的有效 QPS 總數在 CA 過期時不受影響,您必須在現有 CA 過期前建立新的 CA。

詳情請參閱「在 CA 集區中輪替 CA」。

如要瞭解如何申請提高配額,請參閱要求調整配額

後續步驟