本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
删除私有 CA
您可以从 Amazon Web Services Management Console 或中 Amazon CLI 永久删除私有 CA。您可能想删除一个 CA,例如,用具有新私钥的新 CA 来替换它。要安全删除 CA,请按照下列步骤操作:
-
创建替换 CA。
-
一旦新的私有 CA 投入使用,则禁用旧版,但不要立即将其删除。
-
将旧版 CA 保持禁用状态,直到其颁发的所有证书过期。
-
删除旧版 CA。
Amazon 私有 CA 在处理删除请求之前,不会检查所有已颁发的证书是否都已过期。您可以生成审核报告来确定哪些证书已过期。当 CA 被禁用时,您可以吊销证书,但不能颁发新证书。
如果您必须在私有 CA 颁发的所有证书过期之前删除该 CA,建议您同时吊销 CA 证书。该 CA 证书将列在父 CA 的 CRL 中,客户端将不信任该私有 CA。
重要
私有 CA 在处于 PENDING_CERTIFICATE、CREATING、EXPIRED、DISABLED 或 FAILED 状态时可被删除。要删除处于 ACTIVE 状态的 CA,必须先将其禁用,否则删除请求将引发异常。如果您要删除处于 PENDING_CERTIFICATE 或 DISABLED 状态的私有 CA,可将其还原期设置为 7-30 天(默认值为 30 天)。在此期间,状态设置为 DELETED,CA 可恢复。处于 CREATING 或 FAILED 状态时删除的私有 CA 没有分配的还原期,因此无法还原。有关更多信息,请参阅 还原私有 CA。
删除私有 CA 后,您无需再为其付费。但是,如果还原已删除的 CA,则需支付删除到还原这个时段内的费用。有关更多信息,请参阅 定价。
删除私有 CA(控制台)
-
登录你的 Amazon 账户并打开 Amazon 私有 CA 主机,网址为 https://console.aws.amazon.com/acm-pca/home
。 -
在私有证书颁发机构页面上,从列表中选择您的私有 CA。
-
如果您的 CA 处于
ACTIVE状态,则必须先将其禁用。在 Actions (操作) 菜单上,选择 Disable (禁用)。出现提示时,选择我了解风险,继续。 -
对于未处于
ACTIVE状态的 CA,请选择操作、删除。 -
如果您的 CA 处于
DISABLED、EXPIRED、或PENDING_CERTIFICATE状态,通过删除 CA 页面可让您指定 7-30 天的还原期。如果您的私有 CA 未处于其中任一状态,则它稍后将无法还原,删除为永久性。 -
选择删除。
-
如果您确定要删除私有 CA,请在系统提示您时,选择 Permanently delete (永久删除)。私有 CA 的状态将更改为
DELETED。不过,在还原期结束前,您可以还原私有 CA。要查看该DELETED州私有 CA 的恢复期限,请调用DescribeCerticate管理局或ListCertificate机构 API 操作。
删除私有 CA (Amazon CLI)
使用 delete-certificate-authority 命令可删除私有 CA。
$aws acm-pca delete-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --permanent-deletion-time-in-days 16