Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los grupos de AC

Un grupo de autoridades certificadoras (AC) es un conjunto de varias AC con una política común de emisión de certificados y de Identity and Access Management (IAM). Los grupos de AC ofrecen la capacidad de rotar cadenas de confianza sin interrupciones ni tiempos de inactividad en las cargas útiles.

Un grupo de AC está vacío cuando lo creas. Para obtener información sobre cómo agregar una AC a un grupo de AC, consulta Crea una AC raíz.

El grupo de AC mantiene una lista de certificados de AC de confianza. Debes instalar estos certificados de AC de confianza con el solicitante de certificados.

Propiedades de las AC en un grupo de AC

En la siguiente tabla, se enumeran las funciones que deben ser iguales, que pueden ser diferentes y que deben ser diferentes para todas las AC de un grupo de AC.

Debe ser el mismo para todas las AC de un grupo de AC.	Puede ser diferente para todas las AC en un grupo de AC.	Debe ser diferente para todas las AC de un grupo de AC.
Políticas de emisión de certificados Condiciones de IAM Nivel Ubicación Opciones de publicación. Por ejemplo, si se debe publicar una CRL.	Algoritmos y tamaños de las claves de firma Asuntos de AC y SAN Fecha de vencimiento y período de validez Etiquetas Bucket de Cloud Storage administrado por el cliente que se usa para la CRL y el AIA Claves de AC administradas por el cliente Extensiones de certificados de AC	Nombre de la AC

Lograr un QPS más alto

Certificate Authority Service aplica límites a la cantidad de solicitudes que puedes enviar. Por ejemplo, el límite de uso de la solicitud createCertificate para una AC de DevOps es de 25 QPS.

Para aumentar tu QPS efectiva total, debes tener varias AC en un grupo de AC. Un grupo de AC aumenta el QPS efectivo total, ya que distribuye las solicitudes de certificado entrantes entre todas las AC en el estado ENABLED. Sin embargo, puedes solicitar certificados de una AC en particular del grupo de AC.

Puedes usar la siguiente fórmula para calcular el QPS máximo permitido para un grupo de AC:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por ejemplo, si las QPS efectivas de una AC son de 25 QPS y creas 4 AC en un grupo de AC, las QPS efectivas totales del grupo de AC son de 100 QPS.

Para obtener más información sobre cómo lograr un QPS efectivo total más alto, consulta Cómo aumentar la capacidad de procesamiento de creación de certificados con un grupo de AC.

Administra la rotación de AC

Un grupo de AC puede tener AC que se encuentran en diferentes estados. Un grupo de AC distribuye la carga de la emisión de certificados para las cargas de trabajo entre las AC habilitadas en un grupo de AC.

El grupo de AC abstrae las AC específicas que emiten certificados. Cuando extiende una AC, se reduce el QPS efectivo total del grupo de AC. Por ejemplo, si un grupo de AC tiene 4 AC habilitadas, el QPS efectivo total de ese grupo de AC es de 100 QPS. Sin embargo, si vence una AC en el grupo de AC, la QPS efectiva total se reduce a 75 QPS. Para garantizar que la QPS efectiva total del grupo de AC no se vea afectada cuando venza una AC, debes crear una AC nueva antes de que venza la AC existente.

Para obtener más información, consulta Rota las AC en un grupo de AC.

Si deseas obtener información para solicitar un aumento de la cuota, consulta Solicita un límite de cuota más alto.

¿Qué sigue?

Obtén más información para trabajar con cuotas.
Obtén más información para crear un grupo de AC.
Obtén más información para actualizar y borrar un grupo de AC.