删除私有 CA

您可以从 AWS Management Console 或中 AWS CLI 永久删除私有 CA。您可能想删除一个 CA，例如，用具有新私钥的新 CA 来替换它。要安全删除 CA，请按照下列步骤操作：

1. 创建替换 CA。

2. 一旦新的私有 CA 投入使用，则禁用旧版，但不要立即将其删除。

3. 将旧版 CA 保持禁用状态，直到其颁发的所有证书过期。

4. 删除旧版 CA。

AWS 私有 CA 在处理删除请求之前，不会检查所有已颁发的证书是否都已过期。您可以生成审核报告来确定哪些证书已过期。当 CA 被禁用时，您可以吊销证书，但不能颁发新证书。

如果您必须在私有 CA 颁发的所有证书过期之前删除该 CA，建议您同时吊销 CA 证书。CA 证书将列在CRL父 CA 中，而私有 CA 将不受客户信任。

重要

私有 CA 在处于 PENDING_CERTIFICATE、CREATING、EXPIRED、DISABLED 或 FAILED 状态时可被删除。要删除处于 ACTIVE 状态的 CA，必须先将其禁用，否则删除请求将引发异常。如果您要删除处于 PENDING_CERTIFICATE 或 DISABLED 状态的私有 CA，可将其还原期设置为 7-30 天（默认值为 30 天）。在此期间，状态设置为 DELETED，CA 可恢复。处于 CREATING 或 FAILED 状态时删除的私有 CA 没有分配的还原期，因此无法还原。有关更多信息，请参阅 恢复私有 CA。

删除私有 CA 后，您无需再为其付费。但是，如果还原已删除的 CA，则需支付删除到还原这个时段内的费用。有关更多信息，请参阅 的定价 AWS Private Certificate Authority。

删除私有 CA（控制台）

1. 登录您的 AWS 帐户并在https://console.aws.amazon.com/acm-pca/家中打开主 AWS 私有 CA 机。

2. 在私有证书颁发机构页面上，从列表中选择您的私有 CA。

3. 如果您的 CA 处于 ACTIVE 状态，则必须先将其禁用。在 Actions (操作) 菜单上，选择 Disable (禁用)。出现提示时，选择我了解风险，继续。

4. 对于未处于 ACTIVE 状态的 CA，请选择操作、删除。

5. 如果您的 CA 处于 DISABLED、EXPIRED、或 PENDING_CERTIFICATE 状态，通过删除 CA 页面可让您指定 7-30 天的还原期。如果您的私有 CA 未处于其中任一状态，则它稍后将无法还原，删除为永久性。

6. 选择删除。

7. 如果您确定要删除私有 CA，请在系统提示您时，选择 Permanently delete (永久删除)。私有 CA 的状态将更改为 DELETED。不过，在还原期结束前，您可以还原私有 CA。要查看该DELETED州私有 CA 的恢复周期，请调用DescribeCerticateAuthority或ListCertificateAuthoritiesAPI操作。

删除私有 CA (AWS CLI)

使用delete-certificate-authority命令删除私有 CA。

$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --permanent-deletion-time-in-days 16