Gestionar la rotación de autoridades de certificación

En esta página se explica cómo gestionar la rotación de una AC en un grupo de ACs. Para obtener más información sobre los grupos de AC, consulta Información general sobre los grupos de AC.

Asegurar una rotación de autoridades de certificación fluida

Asegurar una rotación de CAs fluida es fundamental para evitar el tiempo de inactividad del servicio o para hacer frente a una emergencia. En el siguiente procedimiento se explica cómo rotar una CA sin problemas.

  1. Busca el grupo de autoridades de certificación de la autoridad de certificación que va a caducar.

  2. Crea una AC en el mismo grupo de ACs. La AC se crea en el estado STAGED y no puede emitir certificados mediante el balanceo de carga del grupo de ACs. Las autoridades de certificación en el estado STAGED solo pueden emitir certificados cuando los clientes lo soliciten directamente. Para obtener más información sobre los estados de las AC, consulta Estados de las AC.

  3. Asegúrate de que todos los clientes hayan descargado el conjunto más reciente de certificados de CA del grupo de CAs.

  4. Cambia el estado de la nueva AC a ENABLED. De esta forma, se pueden emitir certificados tanto desde la CA antigua como desde la nueva. Para obtener información sobre cómo habilitar autoridades de certificación, consulta Habilitar una CA.

  5. Cambia el estado de la antigua AC a DISABLED. De esta forma, la antigua AC no emitirá certificados. Para obtener información sobre cómo inhabilitar autoridades de certificación, consulta Inhabilitar una CA.

  6. Espera hasta que todos los clientes hayan dejado de usar los certificados emitidos por la antigua AC. Puedes hacerlo de dos formas:

    • Puedes esperar a que caduque el certificado.
    • Puedes monitorizar los certificados que usan tus clientes.

  7. Elimina la AC antigua. Para obtener más información sobre cómo eliminar una CA, consulta Eliminar autoridades de certificación.

Siguientes pasos