本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
刪除您的私有 CA
您可以從 AWS Management Console 或 AWS CLI 永久刪除私人 CA。例如,您可能想要刪除某 CA,將其取代成具有新私有金鑰的新 CA。若要安全地刪除 CA,請遵循下列步驟:
-
建立替換 CA。
-
一旦新的私有 CA 在生產環境中,請停用舊的私有 CA,但不要立即刪除。
-
請將舊 CA 保持停用,直到其發行的所有憑證皆過期為止。
-
刪除舊 CA。
AWS 私有 CA 在處理刪除要求之前,不會檢查所有已發行的憑證是否已過期。您可以產生稽核報告來判斷哪些憑證已過期。雖然 CA 已停用,您仍可撤銷憑證,但無法發行新的憑證。
如果您必須在所有發行的憑證過期前刪除私有 CA,我們建議您撤銷 CA 憑證。CA 憑證將會列於上層 CA 的 CRL 中,私有 CA 將不受用戶端信任。
重要
私有 CA 處於 PENDING_CERTIFICATE
、CREATING
、EXPIRED
、DISABLED
或 FAILED
狀態時,可以刪除。若要刪除處於 ACTIVE
狀態的 CA,您必須先進行停用,否則刪除請求會導致例外狀況。如果您要刪除PENDING_CERTIFICATE
或DISABLED
狀態的私人 CA,可以將還原期間長度設定為 7-30 天,預設值為 30。在此期間,狀態會設為 DELETED
且 CA 可進行還原。處於CREATING
或FAILED
狀態時刪除的私有 CA 沒有指派的還原期間,因此無法還原。如需詳細資訊,請參閱 還原私有 CA。
私有 CA 刪除後,您不需付費。不過,如果還原已刪除的 CA,您需支付刪除到還原這段期間的費用。如需詳細資訊,請參閱 定價。
刪除私有 CA (主控台)
-
登入您的 AWS 帳戶,然後在 https://console.aws.amazon.com/acm-pca/home
開啟 AWS 私有 CA 主控台。 -
在 [私人憑證授權單位] 頁面上,從清單中選擇您的私有 CA。
-
如果您的 CA 處於狀
ACTIVE
態,您必須先將其停用。在 Actions (動作) 選單上,選擇 Disable (停用)。出現提示時,選擇我了解風險,繼續。 -
對於非處於
ACTIVE
狀態的 CA,請選擇動作 > 刪除。 -
如果您的 CA 處於
DISABLED
、或PENDING_CERTIFICATE
狀態EXPIRED
,[刪除 CA] 頁面可讓您指定 7-30 天的還原期間。如果您的私有 CA 不在這些狀態之一,則稍後將無法還原,並且刪除是永久性的。 -
選擇刪除。
-
如果您確定要刪除私有 CA,請在系統提示時選擇 Permanently delete (永久刪除)。私有 CA 的狀態會變更為
DELETED
。不過,您可以在還原期間結束之前還原私有 CA。要檢查DELETED
狀態下私有 CA 的恢復期,請調用DescribeCerticate管理局或ListCertificate當局 API 操作。
刪除私有 CA (AWS CLI)
使用 delete-certificate-authority 命令來刪除私有 CA。
$
aws acm-pca delete-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
\ --permanent-deletion-time-in-days 16