Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione della rotazione delle autorità di certificazione

Questa pagina spiega come gestire la rotazione di una CA in un pool di CA. Per ulteriori informazioni sui pool di CA, consulta la Panoramica dei pool di CA.

Garantire una rotazione senza problemi delle CA

Garantire una rotazione senza problemi delle CA è essenziale per evitare tempi di inattività del servizio o per gestire un'emergenza. La procedura seguente spiega come ruotare facilmente una CA.

Trova il pool di CA per la CA esistente che sta per scadere.
Crea una CA nello stesso pool di CA. La CA viene creata nello stato STAGED e non può emettere certificati tramite il bilanciamento del carico del pool di CA. Le CA nello stato STAGED possono emettere certificati solo se richiesti direttamente dai clienti. Per ulteriori informazioni sugli stati delle CA, consulta Stati delle CA.
Assicurati che tutti i client abbiano scaricato l'ultimo insieme di certificati CA dal pool di CA.

Nota: verifica che tutti i tuoi clienti abbiano ricevuto i nuovi certificati. I client devono utilizzare l'API fetchCaCerts per recuperare i certificati CA. Se hai configurato i client in modo che scarichino automaticamente l'ultimo insieme di certificati dal pool CA, devi attendere che tutti i client ricevano i nuovi certificati. In caso contrario, puoi pubblicare esplicitamente il nuovo insieme di certificati per i tuoi client.
Modifica lo stato della nuova CA in ENABLED. In questo modo, i certificati possono essere emessi sia dalla vecchia che dalla nuova CA. Per informazioni sull'attivazione delle autorità di certificazione, vedi Attivare un'autorità di certificazione.

Nota: per assicurarti che i nuovi certificati non causino interruzioni del servizio, ora puoi scegliere di attendere e monitorare il tuo ambiente.
Modifica lo stato della vecchia CA in DISABLED. In questo modo, i certificati non verranno emessi dalla vecchia CA. Per informazioni su come disattivare le autorità di certificazione, vedi Disattivare un'autorità di certificazione.

Nota: le CA nello stato DISABLED sono ancora considerate attendibili dai client e fornite nell'ancora di attendibilità per il pool di CA.
Attendi che tutti i client smettano di utilizzare i certificati emessi dalla vecchia CA. Puoi assicurarti che ciò avvenga in due modi:
- Puoi attendere la durata massima del certificato.
- Puoi monitorare i certificati utilizzati dai tuoi clienti.
Elimina la vecchia CA. Per ulteriori informazioni sull'eliminazione di un'autorità di certificazione, consulta la sezione Eliminare le autorità di certificazione.

Passaggi successivi

Scopri di più sugli stati delle CA.
Scopri come gestire gli stati delle CA.
Scopri come aggiornare le CA.