了解 Amazon Private CA CA 状态 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Amazon Private CA CA 状态

由 Amazon 私有 CA 用户操作管理的 CA 的状态源于用户操作,或者在某些情况下来自服务操作。例如,CA 状态在过期时会发生变化。对 CA 管理员可用的状态选项取决于 CA 的当前状态。

Amazon 私有 CA 可以报告以下状态值。下表显示每种状态下可用的 CA 功能。

注意

对于除 DELETEDFAILED 之外的所有状态值,您需要支付 CA 的费用。

Status 颁发证书 使用验证证书 OCSP 生成 CRLs 生成审计 您可以更新 CA 证书 可以吊销证书 您需要支付 CA 费用
CREATING – 正在创建 CA。

PENDING_CERTIFICATE – CA 已创建,需要证书才能正常运行。*

ACTIVE
DISABLED – 您已手动禁用 CA。
EXPIRED – CA 证书已过期。**
FAILED CreateCertificateAuthority 操作失败。这可能是由于网络中断、后端 Amazon 故障或其他错误造成的。出现故障的 CA 无法恢复。请删除 CA 并创建新 CA。
DELETED 您的 CA 处于还原期内,时长可能为 7-30 天。在此期间之后,它将被永久删除。
  • 如果您在DELETED状态为且证书已过期的 CA RestoreCertificateAuthority API 上调用,则 CA 将设置为EXPIRED

  • 有关删除 CA 的更多信息,请参阅删除私有 CA

要完成激活,您需要生成一个CSR,从 CA 获取签名的 CA 证书,然后将该证书导入 Amazon 私有 CA。CSR可以提交给您的新 CA(用于自签名),也可以提交给本地根或从属 CA。有关更多信息,请参阅 安装 CA 证书

您不能直接更改过期 CA 的状态。如果您为 CA 导入新证书,则会将状态 Amazon 私有 CA 重置为,ACTIVE除非在证书过期DISABLED之前将其设置为。

有关过期 CA 证书的其他注意事项:

  • CA 证书不会自动续订。有关通过自动续订的信息 Amazon Certificate Manager,请参阅将证书续订权限分配给 ACM

  • 如果您尝试使用已过期的 CA 颁发新证书,则会IssueCertificateAPI返回InvalidStateException。过期的根 CA 必须先自行签名新的根 CA 证书,然后才能颁发新的从属证书。

  • The ListCertificateAuthoritiesDescribeCertificateAuthorityAPIs返回 CA 证书是否已过期的状态,无论 CA 状态是否设置为ACTIVEDISABLEDEXPIRED但是,如果已过期 CA 设置为 DELETED,则返回状态 DELETED

  • UpdateCertificateAuthorityAPI无法更新已过期 CA 的状态。

  • RevokeCertificateAPI不能用于吊销任何过期的证书,包括 CA 证书。

CA 状态与 CA 生命周期之间的关系

下图通过管理操作与 CA 状态的交互说明了 CA 生命周期。

CA 管理操作和状态的交互。
图键
Blue fabric swatch with a repeating pattern of white polka dots.

管理操作

Blue parallelogram shape with angled sides and sharp corners.
CA 状态
Blue arrow pointing to the right, indicating direction or progression.

导致状态发生变化的操作

Blue arrow pointing right, composed of five dots increasing in size from left to right.

新状态启用的新操作

在图的顶部,管理操作是通过 Amazon 私有 CA 控制台应用的CLI、或API。这些操作将引导 CA 完成创建、激活、过期和续订的过程。CA 状态会随着手动操作或自动更新而变化(如实线所示)。在大多数情况下,新状态会带来 CA 管理员可以应用的新操作(以虚线显示)。右下角的嵌入图显示允许删除和恢复操作的可能状态值。

主题