Eliminación de su entidad de certificación privada

Puede eliminar una CA privada de la AWS Management Console o de AWS CLI forma permanente. Es posible que desee hacer esto, por ejemplo, para sustituirla por una nueva entidad de certificación que tenga otra clave privada. Para eliminar una entidad de certificación de forma segura, siga estos pasos:

1. Cree la CA de sustitución.

2. Una vez que la nueva CA privada esté en producción, deshabilite la antigua, pero no la elimine inmediatamente.

3. Manténgala deshabilitada hasta que caduquen todos los certificados que haya emitido.

4. Elimine la CA antigua.

Autoridad de certificación privada de AWS no comprueba que todos los certificados emitidos hayan caducado antes de procesar una solicitud de eliminación. Puede generar un informe de auditoría para determinar qué certificados han caducado. Mientras la CA esté deshabilitada, podrá revocar los certificados, pero no emitir otros nuevos.

Si tiene que eliminar una CA privada antes de que todos los certificados que ha emitido hayan caducado, le recomendamos que revoque también el certificado de la CA. El certificado de la CA aparecerá en la CRL de la CA principal y los clientes dejarán de confiar en la CA privada.

importante

Una entidad de certificación privada se puede eliminar si tiene el estado PENDING_CERTIFICATE, CREATING, EXPIRED, DISABLED o FAILED. Para poder eliminar una entidad de certificación con el estado ACTIVE, primero debe desactivarla o la solicitud de eliminación generará una excepción. Si va a eliminar una CA privada que tiene el estado PENDING_CERTIFICATE o DISABLED, puede establecer la duración del periodo de restauración entre 7 y 30 días, donde el valor predeterminado es de 30 días. Durante este período, el estado se establece en DELETED y la entidad de certificación se puede restaurar. Una entidad de certificación (CA) privada que se elimina mientras se encuentra en el estado CREATING o FAILED no tiene un período de restauración asignado y no se puede restaurar. Para obtener más información, consulte Restauración de una CA privada.

Una vez que se elimina una CA privada, no se le aplicarán cargos por ella. Sin embargo, si la CA eliminada se restaura, se le cobrará por el tiempo que ha pasado entre su eliminación y su restauración. Para obtener más información, consulte Precios.

Para eliminar una entidad de certificación privada (consola)

1. Inicie sesión en su AWS cuenta y abra la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/home.

2. En la página Autoridad de certificación privada, elija una CA privada de la lista.

3. Si la CA tiene el estado ACTIVE, debe deshabilitarla. En el menú Actions (Acciones), seleccione Disable (Deshabilitar). Cuando se le solicite, elija Comprendo el riesgo, continúe.

4. En el caso de una CA que no se encuentre en el estado ACTIVE, elija Acciones, Eliminar.

5. Si su CA se encuentra en el estado DISABLED, EXPIRED o PENDING_CERTIFICATE, la página Eliminar CA le permite especificar un período de restauración de 7 a 30 días. Si la CA privada no se encuentra en ninguno de estos estados, no podrá restaurarse más adelante y la eliminación será permanente.

6. Elija Eliminar.

7. Si está seguro de que desea eliminar la CA privada, seleccione Permanently delete (Eliminar permanentemente) cuando se lo pregunten. El estado de la CA privada cambiará a DELETED. Sin embargo, podrá restaurarla antes de que finalice el periodo de restauración. Para comprobar el período de restauración de una entidad emisora de certificados privada en el DELETED estado, llame a la operación DescribeCerticateAuthorityo ListCertificateAuthoritiesAPI.

Para eliminar una entidad de certificación privada (AWS CLI)

Utilice el delete-certificate-authoritycomando para eliminar una CA privada.

$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --permanent-deletion-time-in-days 16