Cette page a été traduite par l'API Cloud Translation.

Présentation des pools d'autorités de certification

Un pool d'autorités de certification (CA) est une collection de plusieurs autorités de certification disposant d'une règle d'émission de certificats et d'une stratégie Identity and Access Management (IAM) communes. Les pools d'AC offrent la possibilité d'alterner les chaînes de confiance sans interruption ni temps d'arrêt pour leur charge utile.

Un pool d'autorités de certification est vide lorsque vous le créez. Pour savoir comment ajouter une autorité de certification à un pool d'autorités de certification, consultez Créer une autorité de certification racine.

Le pool d'autorités de certification gère une liste de certificats d'autorités de certification de confiance. Vous devez installer ces certificats CA de confiance avec le demandeur de certificat.

Propriétés des autorités de certification dans un pool d'autorités de certification

Le tableau suivant répertorie les fonctionnalités qui doivent être identiques, peuvent être différentes et doivent être différentes pour toutes les autorités de certification d'un pool d'autorités de certification.

Doit être identique pour toutes les autorités de certification d'un pool d'autorités de certification	Peut être différent pour toutes les autorités de certification d'un pool d'autorités de certification	Doit être différent pour toutes les autorités de certification d'un pool d'autorités de certification
Règles d'émission de certificats Conditions IAM Niveau Emplacement Options de publication. Par exemple, si vous souhaitez publier une LRC.	Algorithmes et tailles des clés de signature Sujets et SAN d'autorité de certification Date d'expiration et période de validité Étiquettes Bucket Cloud Storage géré par le client et utilisé pour les listes CRL et AIA. Clés d'autorité de certification gérées par le client Extensions de certificat CA	Nom de l'autorité de certification

Atteindre un nombre plus élevé de RPS

Certificate Authority Service applique des limites au nombre de requêtes que vous pouvez envoyer. Par exemple, la limite d'utilisation de la requête createCertificate pour une autorité de certification DevOps est de 25 QPS.

Pour augmenter le nombre total de requêtes par seconde (RPS) effectif, vous devez disposer de plusieurs CA dans un pool de CA. Un pool d'autorités de certification augmente le nombre total de RPS effectives en distribuant les demandes de certificat entrantes entre toutes les autorités de certification à l'état ENABLED. Toutefois, vous pouvez toujours demander des certificats à une autorité de certification spécifique du pool d'autorités de certification.

Vous pouvez utiliser la formule suivante pour calculer le nombre maximal de requêtes par seconde autorisé pour un pool d'AC :

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Par exemple, si les RPS effectifs d'une AC sont de 25 RPS et que vous créez quatre AC dans un pool d'AC, les RPS effectifs totaux du pool d'AC sont de 100 RPS.

Pour savoir comment obtenir un nombre total de RPS effectif plus élevé, consultez Augmenter le débit de création de certificats à l'aide d'un pool d'autorités de certification.

Gérer la rotation des autorités de certification

Un pool d'AC peut contenir des AC dans différents états. Un pool d'autorités de certification équilibre la charge de l'émission de certificats pour les charges de travail entre les autorités de certification activées dans un pool d'autorités de certification.

Le pool d'autorités de certification abstrait les autorités de certification spécifiques qui émettent des certificats. Lorsqu'une autorité de certification expire, le RPS effectif total du pool d'autorités de certification est réduit. Par exemple, si un pool d'autorités de certification comporte quatre autorités de certification activées, le nombre total de RPS effectif pour ce pool est de 100. Toutefois, si une autorité de certification du pool expire, le nombre total de RPS effectifs est réduit à 75. Pour vous assurer que le nombre total de requêtes par seconde effectif du pool d'autorités de certification reste inchangé lorsqu'une autorité de certification expire, vous devez en créer une avant l'expiration de l'autorité de certification existante.

Pour en savoir plus, consultez Effectuer une rotation des autorités de certification dans un pool d'autorités de certification.

Pour savoir comment demander une augmentation de quota, consultez Demander un ajustement de quota.

Étapes suivantes

Découvrez comment utiliser les quotas.
Découvrez comment créer un pool d'autorités de certification.
Découvrez comment mettre à jour et supprimer un pool d'autorités de certification.