本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 Amazon Private CA CA 状态
由 Amazon 私有 CA 用户操作管理的 CA 的状态源于用户操作,或者在某些情况下来自服务操作。例如,CA 状态在过期时会发生变化。对 CA 管理员可用的状态选项取决于 CA 的当前状态。
Amazon 私有 CA 可以报告以下状态值。下表显示每种状态下可用的 CA 功能。
注意
对于除 DELETED
和 FAILED
之外的所有状态值,您需要支付 CA 的费用。
Status | 颁发证书 | 使用验证证书 OCSP | 生成 CRLs | 生成审计 | 您可以更新 CA 证书 | 可以吊销证书 | 您需要支付 CA 费用 |
---|---|---|---|---|---|---|---|
CREATING – 正在创建 CA。 |
否 | 否 | 否 | 否 | 否 | 否 | 是 |
|
否 | 否 | 否 | 否 | 否 | 否 | 是 |
ACTIVE |
是 | 是 | 是 | 是 | 是 | 是 | 是 |
DISABLED – 您已手动禁用 CA。 |
否 | 是 | 是 | 是 | 否 | 是 | 是 |
EXPIRED – CA 证书已过期。** |
否 | 否 | 否 | 否 | 是 | 否 | 是 |
FAILED |
CreateCertificateAuthority 操作失败。这可能是由于网络中断、后端 Amazon 故障或其他错误造成的。出现故障的 CA 无法恢复。请删除 CA 并创建新 CA。 |
否 | |||||
DELETED |
您的 CA 处于还原期内,时长可能为 7-30 天。在此期间之后,它将被永久删除。
|
否 |
要完成激活,您需要生成一个CSR,从 CA 获取签名的 CA 证书,然后将该证书导入 Amazon 私有 CA。CSR可以提交给您的新 CA(用于自签名),也可以提交给本地根或从属 CA。有关更多信息,请参阅 安装 CA 证书。
您不能直接更改过期 CA 的状态。如果您为 CA 导入新证书,则会将状态 Amazon 私有 CA 重置为,ACTIVE
除非在证书过期DISABLED
之前将其设置为。
有关过期 CA 证书的其他注意事项:
-
CA 证书不会自动续订。有关通过自动续订的信息 Amazon Certificate Manager,请参阅将证书续订权限分配给 ACM。
-
如果您尝试使用已过期的 CA 颁发新证书,则会
IssueCertificate
API返回InvalidStateException
。过期的根 CA 必须先自行签名新的根 CA 证书,然后才能颁发新的从属证书。 -
The ListCertificateAuthorities
并DescribeCertificateAuthority
APIs返回 CA 证书是否已过期的状态,无论 CA 状态是否设置为ACTIVE
或DISABLED
。EXPIRED
但是,如果已过期 CA 设置为DELETED
,则返回状态DELETED
。 -
UpdateCertificateAuthority
API无法更新已过期 CA 的状态。 -
RevokeCertificate
API不能用于吊销任何过期的证书,包括 CA 证书。
CA 状态与 CA 生命周期之间的关系
下图通过管理操作与 CA 状态的交互说明了 CA 生命周期。
管理操作 |
导致状态发生变化的操作 |
新状态启用的新操作 |
在图的顶部,管理操作是通过 Amazon 私有 CA 控制台应用的CLI、或API。这些操作将引导 CA 完成创建、激活、过期和续订的过程。CA 状态会随着手动操作或自动更新而变化(如实线所示)。在大多数情况下,新状态会带来 CA 管理员可以应用的新操作(以虚线显示)。右下角的嵌入图显示允许删除和恢复操作的可能状态值。