Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

管理私有 CA 生命周期

CA 证书具有固定的生命周期，即有效期。当 CA 证书到期时，CA 层次结构中由其CAs下属机构直接或间接颁发的所有证书都将失效。您可以通过提前规划避免 CA 证书过期。

选择有效期

X.509 证书的有效期是必填的基本证书字段。它确定颁发证书 CA 证明证书可信的时间范围，但吊销除外。（根证书是自签名的，证明其自身的有效期。）

Amazon 私有 CA 并 Amazon Certificate Manager 协助配置证书有效期，但须遵守以下限制：

下图显示了嵌套有效期的典型配置。根证书的寿命最长；终端实体证书的寿命相对较短；从属证书介于这些极端CAs之间。

规划 CA 层次结构时，请确定 CA 证书的最佳生命周期。从要颁发的终端实体证书的所需生命周期反推。

终端实体证书

终端实体证书应具有与使用案例对应的有效期。较短的生命周期可在证书的私有密钥丢失或被盗的情况下，最大限度地减少证书的风险。然而，较短的生命周期意味着经常续订。未能续订即将到期的证书可能会导致停机。

如果发生安全漏洞，分布式使用的终端实体证书也会造成逻辑问题。您在规划时应考虑证书的续订和分发、受损证书的吊销以及吊销传播到依赖证书的客户端的速度。

颁发的最终实体证书的默认有效期ACM为 13 个月（395 天）。在中 Amazon 私有 CA，您可以使用IssueCertificateAPI来申请任何有效期，前提是该有效期少于签发的 CA 的有效期。

从属 CA 证书

从属 CA 证书的有效期应比其颁发的证书长得多。CA 证书比较合适的有效性范围是其颁发的任何子 CA 证书或终端实体证书的两到五倍。例如，假设您具有两级 CA 层次结构（根 CA 和一个从属 CA）。如果您要颁发具有一年生命周期的终端实体证书，则可以将从属颁发证书 CA 的生命周期配置为三年。这是中从属 CA 证书的默认有效期 Amazon 私有 CA。从属 CA 证书可以更改而无需替换根 CA 证书。

根证书

对根 CA 证书的更改会影响整个PKI（公钥基础架构），并要求您更新所有相关的客户端操作系统和浏览器信任存储库。为了最大限度地减少操作影响，您应为根证书选择较长的有效期。根证书的 Amazon 私有 CA 默认期限为十年。

管理 CA 继任

您可以通过两种方法管理 CA 继承：替换旧 CA，或重新颁发具有新有效期的 CA。

更换旧的 CA

要替换旧 CA，请创建新 CA 并将其链接到同一父 CA。之后，您从该新 CA 颁发证书。

从新 CA 颁发的证书具有新的 CA 链。建立新 CA 后，您可以禁用旧 CA 以阻止其颁发新证书。禁用后，旧 CA 支持吊销 CA 颁发的旧证书，而且，如果配置为这样做，它将继续通过和 OCSP /或证书吊销列表 () CRLs 来验证证书。当从旧 CA 颁发的最后一个证书过期时，您可以删除旧 CA。您可以为从该 CA 颁发的所有证书生成审计报告，以确认颁发的所有证书都已过期。如果旧 CA 有下属 CACAs，则还必须替换它们，因为从属CAs证书会同时过期，或者在其父 CA 之前过期。首先替换层次结构中需要替换的最高级别 CA。然后CAs在随后的每个较低级别创建新的替换下属。

Amazon 建议您根据需要在的名称中包含 CA 生成标识符。CAs例如，假设您将第一代 CA 命名为“公司根 CA”。创建第二代 CA 时，将其命名为“公司根 CA G2”。当两者都CAs未过期时，这种简单的命名约定可以帮助避免混淆。

这种 CA 继承方法是首选的，因为它轮换 CA 的私有密钥。轮换私有密钥是 CA 密钥的最佳实践。轮换频率应与密钥使用频率成正比：颁发的证书越多CAs，则应更频繁地轮换。

补发旧的 CA

当 CA 接近到期时，延长其使用寿命的另一种方法是重新颁发具有新到期日期的 CA 证书。重新颁发会保留所有 CA 元数据，并保留现有的私有密钥和公有密钥。在这种情况下，现有证书链和 CA 颁发的未到期的终端实体证书在到期之前一直有效。新证书的颁发也可以不间断地继续进行。要使用重新颁发的证书更新 CA，请按照 安装 CA 证书 中所述的常规安装过程进行操作。

撤销 CA

您可以通过吊销 CA 的基础证书来吊销 CA。这也有效地吊销了该 CA 颁发的所有证书。撤销信息通过OCSP或的方式分发给客户端。CRL只有当您希望吊销 CA 证书颁发的所有终端实体和从属 CA 证书时，才应吊销该 CA 证书。