Se usó la API de Cloud Translation para traducir esta página.

Administrar la rotación de CA

En esta página, se explica cómo puedes administrar la rotación de una AC en un grupo de AC. Para obtener más información sobre los grupos de AC, consulta Descripción general de los grupos de AC.

Cómo garantizar una rotación de AC sin problemas

Garantizar una rotación de AC sin problemas es esencial para evitar el tiempo de inactividad del servicio o para abordar una emergencia. En el siguiente procedimiento, se explica cómo rotar una AC sin problemas.

Busca el grupo de AC de la AC existente que vencerá.
Crea una AC en el mismo grupo de AC. La AC se crea en el estado STAGED y no puede emitir certificados a través del balanceo de cargas del grupo de AC. Las AC con estado STAGED solo pueden emitir certificados cuando los clientes los solicitan directamente. Para obtener más información sobre los estados de CA, consulta Estados de CA.
Asegúrate de que todos los clientes hayan descargado el conjunto más reciente de certificados de AC del grupo de AC.

Nota: Verifica que todos tus clientes hayan recibido los certificados nuevos. Los clientes deben usar la API de fetchCaCerts para recuperar los certificados de la AC. Si configuraste tus clientes para que descarguen automáticamente el conjunto más reciente de certificados del grupo de AC, debes esperar hasta que todos los clientes obtengan los certificados nuevos. De lo contrario, puedes publicar de forma explícita el nuevo conjunto de certificados a tus clientes.
Cambia el estado de la AC nueva a ENABLED. Esto garantiza que los certificados se puedan emitir desde la AC anterior y la nueva. Para obtener información sobre cómo habilitar autoridades certificadoras, consulta Habilita una AC.

Nota: Para asegurarte de que los certificados nuevos no causen interrupciones, ahora puedes esperar y supervisar tu entorno.
Cambia el estado de la AC anterior a DISABLED. Esto garantiza que la AC anterior no emita certificados. Para obtener información sobre cómo inhabilitar autoridades certificadoras, consulta Cómo inhabilitar una AC.

Nota: Los clientes aún confían en las AC en el estado DISABLED y las proporcionan en el ancla de confianza del grupo de AC.
Espera hasta que todos los clientes dejen de usar los certificados emitidos por la AC anterior. Puedes asegurarte de eso de dos maneras:
- Puedes esperar el tiempo de vida máximo del certificado.
- Puedes supervisar los certificados que usan tus clientes.
Borra la AC anterior. Para obtener más información sobre cómo borrar una AC, consulta Borra autoridades certificadoras.

¿Qué sigue?

Obtén más información sobre los estados de AC.
Obtén información para administrar los estados de las AC.
Obtén información para actualizar las AC.