刪除您的私有 CA - AWS Private Certificate Authority

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

刪除您的私有 CA

您可以從 AWS Management Console 或 AWS CLI 永久刪除私人 CA。例如,您可能想要刪除某 CA,將其取代成具有新私有金鑰的新 CA。若要安全地刪除 CA,請遵循下列步驟:

  1. 建立替換 CA。

  2. 一旦新的私有 CA 在生產環境中,請停用舊的私有 CA,但不要立即刪除。

  3. 請將舊 CA 保持停用,直到其發行的所有憑證皆過期為止。

  4. 刪除舊 CA。

AWS 私有 CA 在處理刪除要求之前,不會檢查所有已發行的憑證是否已過期。您可以產生稽核報告來判斷哪些憑證已過期。雖然 CA 已停用,您仍可撤銷憑證,但無法發行新的憑證。

如果您必須在所有發行的憑證過期前刪除私有 CA,我們建議您撤銷 CA 憑證。CA 憑證將會列於上層 CA 的 CRL 中,私有 CA 將不受用戶端信任。

重要

私有 CA 處於 PENDING_CERTIFICATECREATINGEXPIREDDISABLEDFAILED 狀態時,可以刪除。若要刪除處於 ACTIVE 狀態的 CA,您必須先進行停用,否則刪除請求會導致例外狀況。如果您要刪除PENDING_CERTIFICATEDISABLED狀態的私人 CA,可以將還原期間長度設定為 7-30 天,預設值為 30。在此期間,狀態會設為 DELETED 且 CA 可進行還原。處於CREATINGFAILED狀態時刪除的私有 CA 沒有指派的還原期間,因此無法還原。如需詳細資訊,請參閱 還原私有 CA

私有 CA 刪除後,您不需付費。不過,如果還原已刪除的 CA,您需支付刪除到還原這段期間的費用。如需詳細資訊,請參閱 定價

刪除私有 CA (主控台)

  1. 登入您的 AWS 帳戶,然後在 https://console.aws.amazon.com/acm-pca/home 開啟 AWS 私有 CA 主控台。

  2. 在 [私人憑證授權單位] 頁面上,從清單中選擇您的私有 CA。

  3. 如果您的 CA 處於狀ACTIVE態,您必須先將其停用。在 Actions (動作) 選單上,選擇 Disable (停用)。出現提示時,選擇我了解風險,繼續

  4. 對於非處於ACTIVE狀態的 CA,請選擇動作 > 刪除

  5. 如果您的 CA 處於DISABLED、或PENDING_CERTIFICATE狀態EXPIRED,[刪除 CA] 頁面可讓您指定 7-30 天的還原期間。如果您的私有 CA 不在這些狀態之一,則稍後將無法還原,並且刪除是永久性的。

  6. 選擇刪除

  7. 如果您確定要刪除私有 CA,請在系統提示時選擇 Permanently delete (永久刪除)。私有 CA 的狀態會變更為 DELETED。不過,您可以在還原期間結束之前還原私有 CA。要檢查DELETED狀態下私有 CA 的恢復期,請調用DescribeCerticate管理局ListCertificate當局 API 操作。

刪除私有 CA (AWS CLI)

使用 delete-certificate-authority 命令來刪除私有 CA。

$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --permanent-deletion-time-in-days 16