Comprendi lo stato della AWS Private CA CA - AWS Private Certificate Authority
Relazione tra lo stato della CA e il ciclo di vita della CA

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendi lo stato della AWS Private CA CA

Lo stato di una CA gestita da CA privata AWS risulta da un'azione dell'utente o, in alcuni casi, da un'azione di servizio. Ad esempio, lo stato di una CA cambia quando scade. Le opzioni di stato disponibili per gli amministratori della CA variano a seconda dello stato corrente della CA.

CA privata AWS può riportare i seguenti valori di stato. La tabella mostra le funzionalità CA disponibili in ogni stato.

Nota

Per tutti i valori di stato tranne DELETED eFAILED, ti viene addebitata la CA.

Stato Emetti certificati Convalida i certificati con OCSP Genera CRLs Genera audit È possibile aggiornare il certificato CA I certificati possono essere revocati Ti viene addebitata la CA
CREATING— La CA è in fase di creazione. No No No No No No

PENDING_CERTIFICATE— La CA è stata creata e necessita di un certificato per essere operativa. *

 No No No No No No
ACTIVE
DISABLED— La CA è stata disattivata manualmente. No No
EXPIRED— Il certificato CA è scaduto. ** No No No No No
FAILED L'CreateCertificateAuthorityazione non è riuscita. Ciò può verificarsi a causa di un'interruzione della rete, di un AWS errore del backend o di altri errori. Impossibile ripristinare una CA non riuscita. Eliminare la CA e crearne una nuova. No
DELETED La CA rientra nel periodo di ripristino, che può avere una durata di 7-30 giorni. Dopo questo periodo, viene eliminato definitivamente.

  • Se la chiami RestoreCertificateAuthority API su una CA con DELETED stato e certificato scaduto, la CA verrà impostata su. EXPIRED

  • Per ulteriori informazioni sull’eliminazione di una CA, consulta Eliminazione di una CA privata.

 No

Per completare l'attivazione, è necessario generare un CSR certificato CA firmato da una CA e importare il certificato in CA privata AWS. Il CSR file può essere inviato alla nuova CA (per l'autofirma) o a una CA principale o subordinata locale. Per ulteriori informazioni, consulta Installazione del certificato CA.

Non è possibile modificare direttamente lo stato di una CA scaduta. Se si importa un nuovo certificato per la CA, CA privata AWS reimposta lo stato a ACTIVE meno che non fosse impostato DISABLED prima della scadenza del certificato.

Considerazioni aggiuntive sui certificati CA scaduti:

  • I certificati CA non vengono rinnovati automaticamente. Per informazioni sull'automazione del rinnovo tramite AWS Certificate Manager. Assegna le autorizzazioni per il rinnovo dei certificati a ACM

  • Se tenti di emettere un nuovo certificato con una CA scaduta, viene IssueCertificate API restituito. InvalidStateException Una CA root scaduta deve autofirmare un nuovo certificato emesso da una CA root prima di poter emettere nuovi certificati subordinati.

  • The ListCertificateAuthoritiese DescribeCertificateAuthority APIs restituisce lo stato EXPIRED se il certificato CA è scaduto, indipendentemente dal fatto che lo stato CA sia impostato su o. ACTIVE DISABLED Tuttavia, se la CA scaduta è stata impostata su DELETED, lo stato restituito è DELETED.

  • UpdateCertificateAuthorityAPINon possono aggiornare lo stato di una CA scaduta.

  • RevokeCertificateAPINon può essere utilizzato per revocare alcun certificato scaduto, incluso un certificato CA.

Relazione tra lo stato della CA e il ciclo di vita della CA

Il diagramma seguente illustra il ciclo di vita della CA come interazione delle azioni di gestione con lo stato della CA.

Interazione delle azioni e dello stato di gestione della CA.
Chiave del diagramma
Blue fabric swatch with a repeating pattern of white polka dots.

Azione di gestione
Blue parallelogram shape with angled sides and sharp corners.
Stato della CA
Blue arrow pointing to the right, indicating direction or progression.

L'azione comporta un cambio di stato
Blue arrow pointing right, composed of five dots increasing in size from left to right.

Il nuovo stato consente nuove azioni

Nella parte superiore del diagramma, le azioni di gestione vengono applicate tramite la CA privata AWS CLI console oAPI. Le azioni intraprese dalla CA attraverso la creazione, l'attivazione, la scadenza e il rinnovo. Lo stato della CA cambia in risposta (come mostrato dalle linee continue) ad azioni manuali o aggiornamenti automatici. Nella maggior parte dei casi, un nuovo stato porta a una nuova azione possibile (mostrata da una linea tratteggiata) che l'amministratore della CA può applicare. L'inserto in basso a destra mostra i possibili valori di stato che consentono le azioni di eliminazione e ripristino.

Argomenti