本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新私有 CA
创建私有 CA 后,您可以更新其状态或更改其吊销配置。本主题提供有关 CA 状态和 CA 生命周期的详细信息,以及 CA 控制台和 CLI 更新的示例。
更新 CA 状态
由 Amazon 私有 CA 用户操作管理的 CA 的状态源于用户操作,或者在某些情况下来自服务操作。例如,CA 状态在过期时会发生变化。对 CA 管理员可用的状态选项取决于 CA 的当前状态。
Amazon 私有 CA 可以报告以下状态值。下表显示每种状态下可用的 CA 功能。
注意
对于除 DELETED 和 FAILED 之外的所有状态值,您需要支付 CA 的费用。
| Status | 颁发证书 | 使用 OCSP 验证证书 | 生成 CRL | 生成审计 | 您可以更新 CA 证书 | 可以吊销证书 | 您需要支付 CA 费用 |
|---|---|---|---|---|---|---|---|
CREATING – 正在创建 CA。 |
否 | 否 | 否 | 否 | 否 | 否 | 是 |
|
|
否 | 否 | 否 | 否 | 否 | 否 | 是 |
ACTIVE |
是 | 是 | 是 | 是 | 是 | 是 | 是 |
DISABLED – 您已手动禁用 CA。 |
否 | 是 | 是 | 是 | 否 | 是 | 是 |
EXPIRED – CA 证书已过期。** |
否 | 否 | 否 | 否 | 是 | 否 | 是 |
FAILED |
CreateCertificateAuthority 操作失败。这可能是由于网络中断、后端 Amazon 故障或其他错误造成的。出现故障的 CA 无法恢复。请删除 CA 并创建新 CA。 |
否 | |||||
DELETED |
您的 CA 处于还原期内,时长可能为 7-30 天。在此期间之后,它将被永久删除。
|
否 | |||||
* 要完成激活,您需要生成 CSR,从 CA 获取签名的 CA 证书,然后将证书导入 Amazon 私有 CA中。CSR 可以提交给您的新 CA(用于自签名),也可以提交给本地根或从属 CA。有关更多信息,请参阅 创建和安装 CA 证书。
** 您不能直接更改过期 CA 的状态。如果您为 CA 导入新证书,则ACTIVE除非在证书过期DISABLED之前将其设置为,否则状态会 Amazon 私有 CA 重置为。
有关过期 CA 证书的其他注意事项:
-
CA 证书不会自动续订。有关通过自动续订的信息 Amazon Certificate Manager,请参阅将证书续订权限分配给 ACM。
-
如果您尝试使用过期 CA 颁发新证书,
IssueCertificateAPI 将返回InvalidStateException。过期的根 CA 必须先自行签名新的根 CA 证书,然后才能颁发新的从属证书。 -
如果 CA 证书已过期,则
The ListCertificateAuthorities和DescribeCertificateAuthorityAPI 返回状态EXPIRED,无论 CA 状态设置为ACTIVE还是DISABLED。但是,如果已过期 CA 设置为DELETED,则返回状态DELETED。 -
UpdateCertificateAuthorityAPI 无法更新已过期 CA 的状态。 -
RevokeCertificateAPI 无法用于吊销任何已过期证书,包括 CA 证书。
CA 状态和 CA 生命周期
下图通过管理操作与 CA 状态的交互说明了 CA 生命周期。
管理操作 |
|
导致状态发生变化的操作 |
新状态启用的新操作 |
在图的顶部,管理操作通过 Amazon 私有 CA 控制台、CLI 或 API 应用。这些操作将引导 CA 完成创建、激活、过期和续订的过程。CA 状态会随着手动操作或自动更新而变化(如实线所示)。在大多数情况下,新状态会带来 CA 管理员可以应用的新操作(以虚线显示)。右下角的嵌入图显示允许删除和恢复操作的可能状态值。