View a markdown version of this page

Verstehen Sie den AWS Private CA CA-Status - AWS Private Certificate Authority
Beziehung zwischen CA-Status und CA-Lebenszyklus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verstehen Sie den AWS Private CA CA-Status

Der Status einer Zertifizierungsstelle, die anhand der AWS Private CA Ergebnisse einer Benutzeraktion oder in einigen Fällen einer Serviceaktion verwaltet wird. Beispielsweise ändert sich der Status einer Zertifizierungsstelle, wenn sie abläuft. Die Statusoptionen, die CA-Administratoren zur Verfügung stehen, hängen vom aktuellen Status der CA ab.

AWS Private CA kann die folgenden Statuswerte melden. Die Tabelle zeigt die CA-Funktionen, die in den einzelnen Bundesstaaten verfügbar sind.

Anmerkung

Für alle Statuswerte außer DELETED und FAILED wird Ihnen die CA in Rechnung gestellt.

Status Zertifikate ausstellen Bestätigen Sie Zertifikate mit OCSP Generieren Sie CRLs Generieren Sie Prüfungen Sie können das CA-Zertifikat aktualisieren Zertifikate können widerrufen werden Ihnen wird die CA in Rechnung gestellt
CREATING— Die CA wird gerade erstellt. Nein Nein Nein Nein Nein Nein Ja

PENDING_CERTIFICATE— Die CA wurde erstellt und benötigt ein Zertifikat, um betriebsbereit zu sein. *

 Nein Nein Nein Nein Nein Nein Ja
ACTIVE Ja Ja Ja Ja Ja Ja Ja
DISABLED— Sie haben die CA manuell deaktiviert. Nein Ja Ja Ja Nein Ja Ja
EXPIRED— Das CA-Zertifikat ist abgelaufen. ** Nein Nein Nein Nein Ja Nein Ja
FAILED Die CreateCertificateAuthority Aktion ist fehlgeschlagen. Dies kann aufgrund eines Netzwerkausfalls, eines AWS Back-End-Fehlers oder anderer Fehler auftreten. Eine fehlgeschlagene CA kann nicht wiederhergestellt werden. Löschen Sie die CA und erstellen Sie eine neue. Nein
DELETED Ihre CA befindet sich innerhalb des Wiederherstellungszeitraums, der eine Dauer von 7 bis 30 Tagen haben kann. Nach diesem Zeitraum wird sie endgültig gelöscht.

  • Wenn Sie die RestoreCertificateAuthority-API in einer CA mit dem DELETED-Status und einem abgelaufenen Zertifikat aufrufen, wird die CA auf EXPIRED gesetzt.

  • Weitere Informationen zum Löschen einer CA finden Sie unter Löschen Ihrer privaten CA.

 Nein

Um die Aktivierung abzuschließen, müssen Sie eine CSR generieren, ein signiertes CA-Zertifikat von einer Zertifizierungsstelle abrufen und das Zertifikat in diese importieren. AWS Private CA Die CSR kann entweder an Ihre neue Zertifizierungsstelle (zur Selbstsignierung) oder an eine lokale Stammzertifizierungsstelle oder untergeordnete Zertifizierungsstelle übermittelt werden. Weitere Informationen finden Sie unter Installation des CA-Zertifikats.

Sie können den Status einer abgelaufenen CA nicht direkt ändern. Wenn Sie ein neues Zertifikat für die Zertifizierungsstelle importieren, wird der Status auf AWS Private CA zurückgesetzt, es ACTIVE sei denn, er wurde vor Ablauf des Zertifikats auf DISABLED festgelegt.

Zusätzliche Überlegungen zu abgelaufenen CA-Zertifikaten:

  • CA-Zertifikate werden nicht automatisch erneuert. Informationen zur Automatisierung der Verlängerung durch finden Sie AWS Certificate Manager unterWeisen Sie ACM Berechtigungen zur Zertifikatsverlängerung zu.

  • Wenn Sie versuchen, ein neues Zertifikat mit einer abgelaufenen CA auszustellen, wird die IssueCertificate-API InvalidStateException zurückgegeben. Eine abgelaufene Stamm-CA muss ein neues Stamm-CA-Zertifikat selbst signieren, bevor sie neue untergeordnete Zertifikate ausstellen kann.

  • The ListCertificateAuthorities- und DescribeCertificateAuthority-APIs geben den Status EXPIRED zurück, wenn das CA-Zertifikat abgelaufen ist, unabhängig davon, ob der Status der CA auf ACTIVE oder DISABLED festgelegt ist. Wenn jedoch die abgelaufene CA auf DELETED festgelegt wurde, ist der zurückgegebene Status DELETED.

  • Die UpdateCertificateAuthority-API kann den Status einer abgelaufenen CA nicht aktualisieren.

  • Die RevokeCertificate API kann nicht verwendet werden, um abgelaufene Zertifikate zu widerrufen, einschließlich eines CA-Zertifikats.

Beziehung zwischen CA-Status und CA-Lebenszyklus

Das folgende Diagramm veranschaulicht den Lebenszyklus der CA als Interaktion von Verwaltungsaktionen mit dem Status der CA.

Interaktion von CA-Verwaltungsaktionen und -Status.
Schlüssel des Diagramms
Blaues Rechteck, das eine Verwaltungsaktion im Diagramm darstellt.

Verwaltungsmaßnahme
Blaue Parallelogrammform mit abgewinkelten Seiten und scharfen Ecken.
CA-Status
Blauer Pfeil, der nach rechts zeigt und Richtung oder Fortschritt anzeigt.

Die Aktion führt zu einer Zustandsänderung
Vier Punkte, gefolgt von einem nach rechts zeigenden Pfeil, stehen für Fortschritt oder Fortsetzung.

Ein neuer Status ermöglicht neue Aktionen

Oben im Diagramm werden Verwaltungsaktionen über die AWS Private CA -Konsole, die CLI oder die API angewendet. Die Aktionen führen die CA durch Erstellung, Aktivierung, Ablauf und Erneuerung. Der Status der CA ändert sich in Reaktion auf manuelle Aktionen oder automatisierte Aktualisierungen (wie anhand der durchgezogenen Linien angezeigt). In den meisten Fällen führt ein neuer Status zu einer neuen möglichen Aktion (dargestellt durch eine gepunktete Linie), die der CA-Administrator anwenden kann. Im Kasten unten rechts sehen Sie die möglichen Statuswerte, die Lösch- und Wiederherstellungsaktionen ermöglichen.

Themen