Excluir a CA privada - AWS Private Certificate Authority

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluir a CA privada

Você pode excluir uma CA privada do AWS Management Console ou AWS CLI permanentemente. Você pode excluir uma, por exemplo, para substituí-la por uma nova CA que tem uma nova chave privada. Para excluir uma CA com segurança, siga estas etapas:

  1. Crie a CA de substituição.

  2. Assim que a nova CA privada estiver em produção, desative a antiga, mas não a exclua imediatamente.

  3. Mantenha a CA antiga desabilitada até que todos os certificados emitidos por ela tenham expirado.

  4. Exclua a CA antiga.

CA privada da AWS não verifica se todos os certificados emitidos expiraram antes de processar uma solicitação de exclusão. É possível gerar um relatório de auditoria para determinar quais certificados expiraram. Embora a CA esteja desativada, você pode revogar certificados, mas você não pode emitir novos.

Se for preciso excluir uma CA privada antes que todos os certificados emitidos por ela expirarem, recomendamos que você também revogue o certificado de CA. O certificado de CA será listado na CRL da CA pai, e a CA privada não será confiável para os clientes.

Importante

Uma CA privada poderá ser excluída se estiver no estado PENDING_CERTIFICATE, CREATING, EXPIRED, DISABLED ou FAILED. Para excluir uma CA no estado ACTIVE, primeiro é necessário desabilitá-la ou a solicitação de exclusão resultará em uma exceção. Se você estiver excluindo uma CA privada no estado PENDING_CERTIFICATE ou DISABLED, poderá definir o tamanho do período de restauração de 7 a 30 dias, com 30 sendo o padrão. Durante esse período, o status é definido como DELETED e a CA é restaurável. Uma CA privada que é excluída enquanto no estado CREATING ou FAILED não tem nenhum período de restauração atribuído e não pode ser restaurada. Para ter mais informações, consulte Restaurar uma CA privada.

Você não será cobrado por uma CA privada depois que ela for excluída. No entanto, se uma CA excluída for restaurada, você será cobrado pelo tempo entre a exclusão e a restauração. Para ter mais informações, consulte Definição de preço.

Como excluir uma CA privada (console)

  1. Faça login na sua AWS conta e abra o CA privada da AWS console em https://console.aws.amazon.com/acm-pca/home.

  2. Na página Autoridades de certificação privadas, escolha sua CA privada na lista.

  3. Se a CA estiver no estado ACTIVE, você deverá desabilitá-la primeiro. No menu Actions (Ações), selecione Disable (Desabilitar). Quando solicitado, escolha Estou ciente do risco, continuar.

  4. Para uma CA que não esteja no estado ACTIVE, escolha Ações, Excluir.

  5. Se a CA estiver no estado DISABLED, EXPIRED ou PENDING_CERTIFICATE, a página Excluir CA permitirá especificar um período de restauração de 7 a 30 dias. Se a CA privada não estiver em um desses estados, ela não poderá ser restaurada, e a exclusão será permanente.

  6. Escolha Excluir.

  7. Se você tiver certeza de que deseja excluir a CA privada, selecione Permanently delete (Excluir permanentemente) quando for solicitado. O status da CA privada será alterado para DELETED. No entanto, é possível restaurar a CA privada antes do fim do período de restauração. Para verificar o período de restauração de uma CA privada no DELETED estado, ligue para a operação da API DescribeCerticateListCertificateAuthority ou Authority.

Como excluir uma CA privada (AWS CLI)

Use o comando delete-certificate-authority para excluir uma CA privada.

$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --permanent-deletion-time-in-days 16