5.2. CA 服务分布指南
以下步骤为您的证书颁发机构 (CA) 服务的分发提供指导。
流程
在拓扑中的多个服务器中安装 CA 服务。
配置了没有 CA 的副本将所有证书操作请求转发到拓扑中的 CA 服务器。
警告如果您丢失了所有具有 CA 的服务器,则丢失所有 CA 配置,而没有任何恢复的机会。在这种情况下,您必须配置一个新的 CA,并发布和安装新证书。
- 维护足够数量的 CA 服务器来处理部署的 CA 请求。
有关适当数量的 CA 服务器的建议,请查看下表:
部署的描述 | 推荐的 CA 服务器数目 |
---|---|
签发大量证书的部署 | 三个或四个 CA 服务器 |
在多个区域之间具有带宽或可用性问题的部署 | 每个区域有一个 CA 服务器,部署中至少有三个服务器 |
所有其他部署 | 两个 CA 服务器 |
重要
如果并发证书请求的数量不是很高,则拓扑中有四个 CA 服务器通常就足够了。超过四个 CA 服务器之间的复制进程可以提高处理器使用率,导致性能下降。