Verstehen Sie den AWS Private CA CA-Status - AWS Private Certificate Authority
Beziehung zwischen dem CA-Status und dem CA-Lebenszyklus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verstehen Sie den AWS Private CA CA-Status

Der Status einer Zertifizierungsstelle, die anhand der AWS Private CA Ergebnisse einer Benutzeraktion oder in einigen Fällen einer Serviceaktion verwaltet wird. Beispielsweise ändert sich der Status einer Zertifizierungsstelle, wenn sie abläuft. Die Statusoptionen, die CA-Administratoren zur Verfügung stehen, hängen vom aktuellen Status der CA ab.

AWS Private CA kann die folgenden Statuswerte melden. Die Tabelle zeigt die CA-Funktionen, die in den einzelnen Bundesstaaten verfügbar sind.

Anmerkung

Für alle Statuswerte außer DELETED und FAILED wird Ihnen die CA in Rechnung gestellt.

Status Zertifikate ausstellen Bestätigen Sie Zertifikate mit OCSP Generieren CRLs Audits generieren Sie können das CA-Zertifikat aktualisieren Zertifikate können widerrufen werden Ihnen wird die CA in Rechnung gestellt
CREATING— Die CA wird gerade erstellt. Nein Nein Nein Nein Nein Nein Ja

PENDING_CERTIFICATE— Die CA wurde erstellt und benötigt ein Zertifikat, um betriebsbereit zu sein. *

 Nein Nein Nein Nein Nein Nein Ja
ACTIVE Ja Ja Ja Ja Ja Ja Ja
DISABLED— Sie haben die CA manuell deaktiviert. Nein Ja Ja Ja Nein Ja Ja
EXPIRED— Das CA-Zertifikat ist abgelaufen. ** Nein Nein Nein Nein Ja Nein Ja
FAILED Die CreateCertificateAuthority Aktion ist fehlgeschlagen. Dies kann aufgrund eines Netzwerkausfalls, eines AWS Back-End-Fehlers oder anderer Fehler auftreten. Eine fehlgeschlagene CA kann nicht wiederhergestellt werden. Löschen Sie die CA und erstellen Sie eine neue. Nein
DELETED Ihre CA befindet sich innerhalb des Wiederherstellungszeitraums, der zwischen 7 und 30 Tagen dauern kann. Nach diesem Zeitraum wird sie endgültig gelöscht.

  • Wenn Sie eine CA mit DELETED Status und abgelaufenem Zertifikat aufrufen, wird die CA auf EXPIRED gesetzt. RestoreCertificateAuthority API

  • Weitere Informationen zum Löschen einer CA finden Sie unter Löschen Ihrer privaten CA.

 Nein

Um die Aktivierung abzuschließen, müssen Sie ein generierenCSR, ein signiertes CA-Zertifikat von einer Zertifizierungsstelle abrufen und das Zertifikat in importieren AWS Private CA. Das CSR kann entweder an Ihre neue Zertifizierungsstelle (zur Selbstsignierung) oder an eine lokale Stammzertifizierungsstelle oder untergeordnete Zertifizierungsstelle eingereicht werden. Weitere Informationen finden Sie unter Installation des CA-Zertifikats.

Sie können den Status einer abgelaufenen CA nicht direkt ändern. Wenn Sie ein neues Zertifikat für die Zertifizierungsstelle importieren, wird der Status auf AWS Private CA zurückgesetzt, es ACTIVE sei denn, er wurde DISABLED vor Ablauf des Zertifikats auf festgelegt.

Zusätzliche Überlegungen zu abgelaufenen CA-Zertifikaten:

  • CA-Zertifikate werden nicht automatisch erneuert. Informationen zur Automatisierung der Verlängerung durch finden Sie AWS Certificate Manager unterWeisen Sie Berechtigungen zur Zertifikatserneuerung zu ACM.

  • Wenn Sie versuchen, ein neues Zertifikat mit einer abgelaufenen Zertifizierungsstelle auszustellen, wird das IssueCertificate API zurückgegebenInvalidStateException. Eine abgelaufene Stamm-CA muss ein neues Stamm-CA-Zertifikat selbst signieren, bevor sie neue untergeordnete Zertifikate ausstellen kann.

  • The ListCertificateAuthoritiesund DescribeCertificateAuthority APIs gibt den Status zurück, EXPIRED ob das CA-Zertifikat abgelaufen ist, unabhängig davon, ob der CA-Status auf ACTIVE oder gesetzt istDISABLED. Wenn jedoch die abgelaufene CA auf DELETED festgelegt wurde, ist der zurückgegebene Status DELETED.

  • Der Status einer abgelaufenen CA UpdateCertificateAuthority API kann nicht aktualisiert werden.

  • Der RevokeCertificate API kann nicht verwendet werden, um abgelaufene Zertifikate, einschließlich eines CA-Zertifikats, zu widerrufen.

Beziehung zwischen dem CA-Status und dem CA-Lebenszyklus

Das folgende Diagramm veranschaulicht den Lebenszyklus der CA als Interaktion von Verwaltungsaktionen mit dem Status der CA.

Interaktion von CA-Verwaltungsaktionen und -Status.
Schlüssel des Diagramms
Blue fabric swatch with a repeating pattern of white polka dots.

Maßnahme des Managements
Blue parallelogram shape with angled sides and sharp corners.
CA-Status
Blue arrow pointing to the right, indicating direction or progression.

Die Aktion führt zu einer Statusänderung
Blue arrow pointing right, composed of five dots increasing in size from left to right.

Ein neuer Status ermöglicht neue Aktionen

Am oberen Rand des Diagramms werden die Verwaltungsaktionen über die AWS Private CA Konsole,CLI, oder angewendetAPI. Die Aktionen führen die CA durch Erstellung, Aktivierung, Ablauf und Erneuerung. Der Status der CA ändert sich in Reaktion auf manuelle Aktionen oder automatisierte Aktualisierungen (wie anhand der durchgezogenen Linien angezeigt). In den meisten Fällen führt ein neuer Status zu einer neuen möglichen Aktion (dargestellt durch eine gepunktete Linie), die der CA-Administrator anwenden kann. Im Kasten unten rechts sehen Sie die möglichen Statuswerte, die Lösch- und Wiederherstellungsaktionen ermöglichen.

Themen