Cette page a été traduite par l'API Cloud Translation.

Gérer la rotation des autorités de certification

Cette page explique comment gérer la rotation d'une autorité de certification dans un pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la section Présentation des pools d'autorités de certification.

Assurer une rotation fluide des autorités de certification

Assurer une rotation fluide des autorités de certification est essentiel pour éviter les temps d'arrêt des services ou pour faire face à une situation d'urgence. La procédure suivante explique comment effectuer une rotation fluide d'une autorité de certification.

Recherchez le pool d'autorités de certification de l'autorité de certification existante qui doit expirer.
Créez une autorité de certification dans le même pool. L'autorité de certification est créée à l'état STAGED et ne peut pas émettre de certificats via l'équilibrage de charge du pool d'autorités de certification. Les autorités de certification à l'état STAGED ne peuvent émettre des certificats que lorsque les clients en font la demande directement. Pour en savoir plus sur les états des autorités de certification, consultez la section États des autorités de certification.
Assurez-vous que tous les clients ont téléchargé le dernier ensemble de certificats d'autorité de certification à partir du pool d'autorités de certification.

Remarque :Vérifiez que tous vos clients ont bien reçu les nouveaux certificats. Les clients doivent utiliser l'API fetchCaCerts pour récupérer les certificats d'autorité de certification. Si vous avez configuré vos clients pour qu'ils téléchargent automatiquement le dernier ensemble de certificats à partir du pool d'autorités de certification, vous devez attendre que tous vos clients obtiennent les nouveaux certificats. Sinon, vous pouvez publier explicitement le nouvel ensemble de certificats auprès de vos clients.
Définissez l'état de la nouvelle autorité de certification sur ENABLED. Cela garantit que des certificats peuvent être émis à la fois par l'ancienne et la nouvelle autorité de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez Activer une autorité de certification.

Remarque :Pour vous assurer que les nouveaux certificats ne provoquent pas d'indisponibilités, vous pouvez désormais choisir d'attendre et de surveiller votre environnement.
Définissez l'état de l'ancienne autorité de certification sur DISABLED. Cela garantit que les certificats ne seront pas émis par l'ancienne autorité de certification. Pour en savoir plus sur la désactivation des autorités de certification, consultez Désactiver une autorité de certification.

Remarque :Les autorités de certification dans l'état DISABLED sont toujours approuvées par les clients et fournies dans l'ancre de confiance du pool d'autorités de certification.
Attendez que tous les clients aient cessé d'utiliser les certificats délivrés par l'ancienne autorité de certification. Pour vous en assurer, vous avez deux possibilités:
- Vous pouvez attendre la durée de vie maximale du certificat.
- Vous pouvez surveiller les certificats utilisés par vos clients.
Supprimez l'ancienne autorité de certification. Pour en savoir plus sur la suppression d'une autorité de certification, consultez Supprimer des autorités de certification.

Étape suivante

En savoir plus sur les états des autorités de certification
Découvrez comment gérer les états des autorités de certification.
Découvrez comment mettre à jour les autorités de certification.