Mettre à jour votre CA privée

Vous pouvez mettre à jour le statut d'une autorité de certification privée ou modifier sa configuration de révocation après l'avoir créée. Cette rubrique fournit des détails sur le statut de l'autorité de certification et le cycle de vie de l'autorité de certification, ainsi que des exemples de console et de CLI mises à jour deCAs.

Mettre à jour le statut de CA

Le statut d'une autorité de certification gérée par Autorité de certification privée AWS résulte d'une action de l'utilisateur ou, dans certains cas, d'une action de service. Par exemple, le statut d'une autorité de certification change lorsqu'il expire. Les options d'état disponibles pour les administrateurs de l'autorité de certification varient en fonction de l'état actuel de l'autorité de certification.

Autorité de certification privée AWS peut signaler les valeurs d'état suivantes. Le tableau indique les fonctionnalités de l'autorité de certification disponibles dans chaque État.

Note

Pour toutes les valeurs de statut, à l'exception de DELETED etFAILED, l'autorité de certification vous est facturée.

Statut	Émettre des certificats	Validez les certificats avec OCSP	Générer CRLs	Générez des audits	Vous pouvez mettre à jour le certificat CA	Les certificats peuvent être révoqués	Vous êtes facturé pour le CA
`CREATING`— Le CA est en cours de création.	Non	Non	Non	Non	Non	Non	Oui
`PENDING_CERTIFICATE`— L'autorité de certification a été créée et a besoin d'un certificat pour être opérationnelle. *	Non	Non	Non	Non	Non	Non	Oui
`ACTIVE`	Oui	Oui	Oui	Oui	Oui	Oui	Oui
`DISABLED`— Vous avez désactivé manuellement l'autorité de certification.	Non	Oui	Oui	Oui	Non	Oui	Oui
`EXPIRED`— Le certificat CA a expiré. **	Non	Non	Non	Non	Oui	Non	Oui
`FAILED`	L'`CreateCertificateAuthority`action a échoué. Cela peut être dû à une panne réseau, à une AWS défaillance du backend ou à d'autres erreurs. Une autorité de certification défaillante ne peut pas être récupérée. Supprimez l'autorité de certification et créez-en une nouvelle.						Non
`DELETED`	Votre CA est en période de restauration, qui peut durer de 7 à 30 jours. Après cette période, elle est définitivement supprimé. Si vous appelez une autorité de `RestoreCertificateAuthority` API certification ayant un `DELETED` statut et un certificat expiré, l'autorité de certification sera configurée sur`EXPIRED`. Pour de plus amples informations sur la suppression d'une autorité de certification, veuillez consulter Supprimer votre CA privée.						Non

* Pour terminer l'activation, vous devez générer un certificat CACSR, obtenir un certificat d'autorité de certification signé auprès d'une autorité de certification et importer le certificat dans Autorité de certification privée AWS. Ils CSR peuvent être soumis soit à votre nouvelle autorité de certification (pour l'auto-signature), soit à une autorité de certification racine ou subordonnée sur site. Pour de plus amples informations, veuillez consulter Création et installation du certificat CA.

** Vous ne pouvez pas modifier directement le statut d'une autorité de certification expirée. Si vous importez un nouveau certificat pour l'autorité de certification, le statut Autorité de certification privée AWS est rétabli à ACTIVE moins qu'il n'ait été défini DISABLED avant l'expiration du certificat.

Considérations supplémentaires concernant les certificats CA expirés :

Les certificats CA ne sont pas renouvelés automatiquement. Pour plus d'informations sur l'automatisation du renouvellement AWS Certificate Manager, consultezAttribuez des autorisations de renouvellement de certificat à ACM.
Si vous tentez d'émettre un nouveau certificat avec une autorité de certification expirée, les IssueCertificate API retours sont renvoyésInvalidStateException. Une autorité de certification racine expirée doit auto-signer un nouveau certificat d'une autorité de certification racine avant de pouvoir émettre de nouveaux certificats subordonnés.
The ListCertificateAuthoritieset DescribeCertificateAuthority APIs renvoient un statut indiquant EXPIRED si le certificat de l'autorité de certification est expiré, que le statut de l'autorité de certification soit défini sur ACTIVE ouDISABLED. Toutefois, si l'autorité de certification expirée a été définie sur DELETED, l'état renvoyé est DELETED.
UpdateCertificateAuthorityAPIImpossible de mettre à jour le statut d'une autorité de certification expirée.
Le RevokeCertificate API ne peut pas être utilisé pour révoquer un certificat expiré, y compris un certificat CA.

État et cycle de vie de l'autorité de certification

Le diagramme suivant illustre le cycle de vie de l'autorité de certification en tant qu'interaction des actions de gestion avec l'état de l'autorité de certification.

Interaction des actions et des états de gestion de l'autorité de certification.

Action de gestion

Statut CA

L'action entraîne un changement d'état

Le nouvel état permet une nouvelle action

En haut du diagramme, les actions de gestion sont appliquées via la Autorité de certification privée AWS consoleCLI, ouAPI. Les actions font transiter l'autorité de certification via la création, l'activation, l'expiration et le renouvellement. L'état de l'autorité de certification change en réponse (comme indiqué par les lignes pleines) à des actions manuelles ou à des mises à jour automatisées. Dans la plupart des cas, un nouvel état entraîne une nouvelle action possible (représentée par une ligne pointillée) que l'administrateur de l'autorité de certification peut appliquer. L'encadré en bas à droite illustre les valeurs d'état possibles permettant les actions de suppression et de restauration.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajout de balises

Mettre à jour une autorité de certification (console)