Diese Seite wurde von der Cloud Translation API übersetzt.

CA-Rotation verwalten

Auf dieser Seite wird beschrieben, wie Sie die Rotation einer Zertifizierungsstelle in einem Zertifizierungsstellenpool verwalten. Weitere Informationen zu CA-Pools finden Sie unter Übersicht über CA-Pools.

Nahtlose CA-Rotation

Eine nahtlose CA-Rotation ist unerlässlich, um Dienstausfälle zu vermeiden oder im Notfall zu reagieren. Im Folgenden wird beschrieben, wie Sie eine Zertifizierungsstelle nahtlos rotieren können.

Suchen Sie den CA-Pool für die vorhandene CA, die bald abläuft.
Erstellen Sie eine CA im selben CA-Pool. Die Zertifizierungsstelle wird im Status STAGED erstellt und kann keine Zertifikate über das Load Balancing des CA-Pools ausstellen. Zertifizierungsstellen im Status STAGED können nur Zertifikate ausstellen, wenn sie direkt von den Kunden angefordert werden. Weitere Informationen zu CA-Status finden Sie unter CA-Status.
Prüfen Sie, ob alle Clients die neuesten CA-Zertifikate aus dem CA-Pool heruntergeladen haben.

Hinweis: Prüfen Sie, ob alle Ihre Kunden die neuen Zertifikate erhalten haben. Die Clients müssen die fetchCaCerts API verwenden, um die CA-Zertifikate abzurufen. Wenn Sie Ihre Clients so konfiguriert haben, dass sie die neuesten Zertifikate automatisch aus dem CA-Pool herunterladen, müssen Sie warten, bis alle Ihre Clients die neuen Zertifikate erhalten haben. Andernfalls können Sie die neuen Zertifikate explizit für Ihre Kunden veröffentlichen.
Ändern Sie den Status der neuen Zertifizierungsstelle in ENABLED. So können Zertifikate sowohl von der alten als auch von der neuen Zertifizierungsstelle ausgestellt werden. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren.

Hinweis :Sie können warten und Ihre Umgebung beobachten, um sicherzustellen, dass die neuen Zertifikate keine Ausfälle verursachen.
Ändern Sie den Status der alten Zertifizierungsstelle in DISABLED. So wird verhindert, dass Zertifikate von der alten Zertifizierungsstelle ausgestellt werden. Informationen zum Deaktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle deaktivieren.

Hinweis: Zertifizierungsstellen im Status DISABLED werden von den Clients weiterhin als vertrauenswürdig eingestuft und im Trust Anchor für den CA-Pool bereitgestellt.
Warten Sie, bis alle Clients die von der alten Zertifizierungsstelle ausgestellten Zertifikate nicht mehr verwenden. Das geht auf zwei Arten:
- Sie können warten, bis die maximale Lebensdauer des Zertifikats abgelaufen ist.
- Sie können die von Ihren Kunden verwendeten Zertifikate im Blick behalten.
Löschen Sie die alte Zertifizierungsstelle. Weitere Informationen zum Löschen einer Zertifizierungsstelle finden Sie unter Zertifizierungsstellen löschen.

CA-Rotation verwalten

Nahtlose CA-Rotation

Nächste Schritte