本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新您的私有 CA
您可以在建立私有 CA 之後更新其狀態或變更其撤銷組態。本主題提供 CA 狀態和 CA 生命週期的詳細資料,以及 CA 的主控台和 CLI 更新範例。
正在更新 CA 狀態
由使用者動作或某些情況下的服務動作所產生的 AWS 私有 CA 結果所管理的 CA 狀態。例如,CA 狀態會在到期時變更。CA 管理員可使用的狀態選項會因 CA 目前的狀態而有所不同。
AWS 私有 CA 可以報告下列狀態值。此表格顯示每個狀態中可用的 CA 功能。
注意
對於除了DELETED和以外的所有狀態值FAILED,我們會向您收取 CA 的費用。
| Status | 頒發憑證 | 使用 OCSP 驗證憑證 | 產生 CRL | 產生稽核 | 您可以更新 CA 證書 | 憑證可以撤銷 | 我們會向您收取 CA 費用 |
|---|---|---|---|---|---|---|---|
CREATING— 正在建立 CA。 |
否 | 否 | 否 | 否 | 否 | 否 | 是 |
|
|
否 | 否 | 否 | 否 | 否 | 否 | 是 |
ACTIVE |
是 | 是 | 是 | 是 | 是 | 是 | 是 |
DISABLED— 您已手動停用 CA。 |
否 | 是 | 是 | 是 | 否 | 是 | 是 |
EXPIRED— CA 憑證已過期。 ** |
否 | 否 | 否 | 否 | 是 | 否 | 是 |
FAILED |
動CreateCertificateAuthority作失敗。這可能是因為網路中斷、後端 AWS 故障或其他錯誤而發生。失敗的 CA 無法復原。請刪除 CA 並建立新的 CA。 |
否 | |||||
DELETED |
您的 CA 在恢復期內,可以有 7-30 天的時間。在此期間之後,CA 將會永久刪除。
|
否 | |||||
* 若要完成啟用,您需要產生 CSR、從 CA 取得已簽署的 CA 憑證,然後將憑證匯入 AWS 私有 CA。CSR 可以提交至您的新 CA (用於自我簽署),或提交至內部部署根目錄或從屬 CA。如需詳細資訊,請參閱 建立和安裝 CA 憑證。
** 您無法直接變更過期 CA 的狀態。如果您匯入 CA 的新憑證,請將狀態 AWS 私有 CA 重設為,ACTIVE除非將狀態設定為憑證到期DISABLED之前。
有關過期 CA 憑證的其他注意事項:
-
CA 憑證不會自動更新。如需透過自動化續約的資訊 AWS Certificate Manager,請參閱將憑證續訂權限指派給 ACM。
-
如果您嘗試使用過期的 CA 發行新憑證,則
IssueCertificateAPI 會傳回InvalidStateException。過期的根 CA 必須先自我簽署新的根 CA 憑證,才能發行新的次級憑證。 -
如果 CA 憑證已過期,
The ListCertificateAuthorities和DescribeCertificateAuthorityAPI 便會傳回EXPIRED狀態,無論 CA 狀態是設為ACTIVE或是DISABLED。但是,如果過期的 CA 已設為DELETED,則狀態會傳回DELETED。 -
UpdateCertificateAuthorityAPI 無法更新已過期 CA 的狀態。 -
RevokeCertificateAPI 無法用於撤銷任何過期的憑證,包括 CA 憑證。
CA 狀態和 CA 生命週期
下圖會將 CA 的生命週期做為 CA 狀態與管理動作的互動顯示。
管理動作 |
|
動作會導致狀態變更 |
新狀態啟用新動作 |
在圖表頂端,管理動作會透過 AWS 私有 CA 主控台、CLI 或 API 套用。這些動作會帶領 CA 經歷建立、啟用、過期和續約。CA 狀態會在回應中變更為手動動作或自動更新 (以實線顯示)。在大多數的情況下,新的狀態會產生可讓 CA 管理員套用的新可能動作 (以虛線顯示)。右下方的內凹顯示可能的狀態值,允許刪除和還原動作。
主題
