Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Gérer la rotation des autorités de certification
Cette page explique comment gérer la rotation d'une autorité de certification dans un pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la section Présentation des pools d'autorités de certification.
Assurer une rotation fluide des autorités de certification
Assurer une rotation fluide des autorités de certification est essentiel pour éviter les temps d'arrêt des services ou pour faire face à une situation d'urgence. La procédure suivante explique comment effectuer une rotation fluide d'une autorité de certification.
Recherchez le pool d'autorités de certification de l'autorité de certification existante qui doit expirer.
Créez une autorité de certification dans le même pool.
L'autorité de certification est créée à l'état STAGED et ne peut pas émettre de certificats via l'équilibrage de charge du pool d'autorités de certification. Les autorités de certification à l'état STAGED ne peuvent émettre des certificats que lorsque les clients en font la demande directement. Pour en savoir plus sur les états des autorités de certification, consultez la section États des autorités de certification.
Assurez-vous que tous les clients ont téléchargé le dernier ensemble de certificats d'autorité de certification à partir du pool d'autorités de certification.
Définissez l'état de la nouvelle autorité de certification sur ENABLED. Cela garantit que des certificats peuvent être émis à la fois par l'ancienne et la nouvelle autorité de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez Activer une autorité de certification.
Définissez l'état de l'ancienne autorité de certification sur DISABLED. Cela garantit que les certificats ne seront pas émis par l'ancienne autorité de certification. Pour en savoir plus sur la désactivation des autorités de certification, consultez Désactiver une autorité de certification.
Attendez que tous les clients aient cessé d'utiliser les certificats délivrés par l'ancienne autorité de certification. Pour vous en assurer, vous avez deux possibilités:
Vous pouvez attendre la durée de vie maximale du certificat.
Vous pouvez surveiller les certificats utilisés par vos clients.
Supprimez l'ancienne autorité de certification. Pour en savoir plus sur la suppression d'une autorité de certification, consultez Supprimer des autorités de certification.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/04/03 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/04/03 (UTC)."],[[["This guide explains how to manage the rotation of a Certificate Authority (CA) within a CA pool to prevent service disruptions or address emergencies."],["The CA rotation process involves creating a new CA in the `STAGED` state, ensuring clients receive the new CA certificates, and then enabling the new CA while disabling the old one."],["Before deleting the old CA, ensure that all clients have stopped using certificates issued by it, either by waiting for the maximum certificate lifetime or by monitoring client usage."],["The new CA will initially be in the `STAGED` state, meaning it can only issue certificates when requested directly, not through CA pool load-balancing, and must be transitioned to the `ENABLED` state for normal operation."],["After the old CA is disabled, it is still trusted by clients and is provided in the trust anchor for the CA pool, and this means the old CA can still issue certificates until all clients have stopped using them."]]],[]]
