Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami status AWS Private CA CA
Status CA yang dikelola oleh AWS Private CA hasil dari tindakan pengguna atau, dalam beberapa kasus, dari tindakan layanan. Misalnya, status CA berubah saat kedaluwarsa. Opsi status yang tersedia untuk CA administrator bervariasi, bergantung pada status CA saat ini.
AWS Private CA dapat melaporkan nilai status berikut. Tabel menunjukkan kemampuan CA yang tersedia di setiap negara bagian.
catatan
Untuk semua nilai status kecuali DELETED danFAILED, Anda ditagih untuk CA.
| Status | Sertifikat penerbitan | Validasi sertifikat dengan OCSP | Menghasilkan CRLs | Hasilkan audit | Anda dapat memperbarui sertifikat CA | Sertifikat dapat dicabut | Anda ditagih untuk CA |
|---|---|---|---|---|---|---|---|
CREATINGCA sedang dibuat. |
Tidak | Tidak | Tidak | Tidak | Tidak | Tidak | Ya |
|
|
Tidak | Tidak | Tidak | Tidak | Tidak | Tidak | Ya |
ACTIVE |
Ya | Ya | Ya | Ya | Ya | Ya | Ya |
DISABLED— Anda telah menonaktifkan CA secara manual. |
Tidak | Ya | Ya | Ya | Tidak | Ya | Ya |
EXPIRED— Sertifikat CA telah kedaluwarsa. ** |
Tidak | Tidak | Tidak | Tidak | Ya | Tidak | Ya |
FAILED |
CreateCertificateAuthorityTindakan itu gagal. Hal ini dapat terjadi karena pemadaman jaringan, AWS kegagalan backend, atau kesalahan lainnya. CA yang gagal tidak dapat dipulihkan. Hapus CA dan buat yang baru. |
Tidak | |||||
DELETED |
CA Anda berada dalam periode pemulihan, yang dapat memiliki panjang 7-30 hari. Setelah periode ini, CA akan dihapus secara permanen.
|
Tidak | |||||
Untuk menyelesaikan aktivasi, Anda perlu membuatCSR, mendapatkan sertifikat CA yang ditandatangani dari CA, dan mengimpor sertifikat ke dalam AWS Private CA. CSRDapat dikirimkan ke CA baru Anda (untuk penandatanganan sendiri), atau ke root lokal atau CA bawahan. Untuk informasi selengkapnya, lihat Memasang sertifikat CA.
Anda tidak dapat langsung mengubah status CA yang kedaluwarsa. Jika Anda mengimpor sertifikat baru untuk CA, AWS Private CA setel ulang statusnya ACTIVE kecuali telah disetel ke DISABLED sebelum sertifikat kedaluwarsa.
Pertimbangan tambahan tentang sertifikat CA yang kedaluwarsa:
-
Sertifikat CA tidak diperbarui secara otomatis. Untuk informasi tentang mengotomatisasi pembaruan melalui AWS Certificate Manager, lihat. Tetapkan izin perpanjangan sertifikat ke ACM
-
Jika Anda mencoba menerbitkan sertifikat baru dengan CA yang kedaluwarsa,
IssueCertificateAPI pengembalianInvalidStateException. CA akar yang kedaluwarsa harus menandatangani sendiri sertifikat CA akar yang baru sebelum dapat menerbitkan sertifikat bawahan baru. -
The ListCertificateAuthoritiesdanDescribeCertificateAuthorityAPIs mengembalikan statusEXPIREDjika sertifikat CA kedaluwarsa, terlepas dari apakah status CA disetel keACTIVEatauDISABLED. Namun, jika CA kedaluwarsa telah ditetapkan keDELETED, status yang dikembalikan adalahDELETED. -
UpdateCertificateAuthorityAPITidak dapat memperbarui status CA yang kedaluwarsa. -
RevokeCertificateAPITidak dapat digunakan untuk mencabut sertifikat yang kedaluwarsa, termasuk sertifikat CA.
Hubungan antara status CA dan siklus hidup CA
Diagram berikut menggambarkan CA siklus hidup sebagai interaksi tindakan manajemen dengan status CA.
Tindakan manajemen |
|
Tindakan menghasilkan perubahan status |
Status baru memungkinkan tindakan baru |
Di bagian atas diagram, tindakan manajemen diterapkan melalui AWS Private CA konsol,CLI, atauAPI. Tindakan ini membawa CA melalui proses pembuatan, aktivasi, kedaluwarsa, dan perpanjangan. Status CA berubah sebagai respons (seperti yang ditunjukkan oleh garis solid) untuk tindakan manual atau pembaruan otomatis. Di sebagian besar kasus, status baru mengarah ke potensi tindakan yang baru (ditunjukkan oleh garis putus-putus) yang dapat diterapkan oleh administrator CA. Inset kanan bawah menunjukkan kemungkinan nilai status yang mengizinkan penghapusan dan pengembalian tindakan.
Topik
