As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entenda o status da AWS Private CA CA
O status de uma CA gerenciada pelos CA privada da AWS resultados de uma ação do usuário ou, em alguns casos, de uma ação de serviço. Por exemplo, o status de uma CA muda quando ela expira. As opções de status disponíveis para administradores de CA variam dependendo do status atual da CA.
CA privada da AWS pode relatar os seguintes valores de status. A tabela mostra os recursos de CA disponíveis em cada estado.
nota
Para todos os valores de status, exceto DELETED e FAILED, você será cobrado pela CA.
| Status | Emitir certificados | Valide certificados com OCSP | Gerar CRLs | Gerar auditorias | É possível atualizar o certificado de CA | Certificados podem ser revogados | Você é cobrado pela CA |
|---|---|---|---|---|---|---|---|
CREATING: a CA está sendo criada. |
Não | Não | Não | Não | Não | Não | Sim |
|
|
Não | Não | Não | Não | Não | Não | Sim |
ACTIVE |
Sim | Sim | Sim | Sim | Sim | Sim | Sim |
DISABLED: você desativou manualmente a CA. |
Não | Sim | Sim | Sim | Não | Sim | Sim |
EXPIRED: o certificado da CA expirou.** |
Não | Não | Não | Não | Sim | Não | Sim |
FAILED |
A ação CreateCertificateAuthority falhou. Isso pode ocorrer devido a uma interrupção na rede, AWS falha no back-end ou outros erros. Uma CA com falha não pode ser recuperada. Exclua a CA e crie uma nova. |
Não | |||||
DELETED |
Sua CA está dentro do período de restauração, que pode durar de 7 a 30 dias. Após esse período, ela é excluída permanentemente.
|
Não | |||||
Para concluir a ativação, você precisa gerar umCSR, obter um certificado de CA assinado de uma CA e importar o certificado para CA privada da AWS. Eles CSR podem ser enviados para sua nova CA (para assinatura automática) ou para uma CA raiz ou subordinada local. Para obter mais informações, consulte Instalando o certificado CA.
Não é possível alterar diretamente o status de uma CA expirada. Se você importar um novo certificado para a CA, CA privada da AWS redefinirá o status para, a ACTIVE menos que tenha sido definido DISABLED antes da expiração do certificado.
Considerações adicionais sobre certificados de CA expirados:
-
Certificados de CA não são renovados automaticamente. Para obter informações sobre como automatizar a renovação AWS Certificate Manager, consulte. Atribua permissões de renovação do certificado a ACM
-
Se você tentar emitir um novo certificado com uma CA expirada, ele
IssueCertificateAPI retornaráInvalidStateException. Uma CA raiz expirada precisa autoassinar um novo certificado CA raiz para poder emitir novos certificados subordinados. -
The ListCertificateAuthoritieseDescribeCertificateAuthorityAPIs retorne um status deEXPIREDse o certificado CA expirou, independentemente de o status da CA estar definido comoACTIVEouDISABLED. No entanto, se a CA expirada tiver sido definida comoDELETED, o status retornado seráDELETED. -
UpdateCertificateAuthorityAPINão é possível atualizar o status de uma CA expirada. -
O
RevokeCertificateAPI não pode ser usado para revogar nenhum certificado expirado, incluindo um certificado CA.
Relação entre o status da CA e o ciclo de vida da CA
O diagrama a seguir ilustra o ciclo de vida da CA como uma interação das ações de gerenciamento com o status da CA.
Ação de gerenciamento |
|
A ação resulta em uma alteração de estado |
O novo estado permite uma nova ação |
Na parte superior do diagrama, as ações de gerenciamento são aplicadas por meio do CA privada da AWS console ouAPI. CLI As ações usam a CA por meio da criação, ativação, expiração e renovação. O status da CA muda em resposta (conforme mostrado pelas linhas sólidas) às ações manuais ou atualizações automatizadas. Na maioria dos casos, um novo status leva a uma nova ação possível (mostrada por uma linha pontilhada) que o administrador da CA pode aplicar. A entrada inferior direita mostra os possíveis valores de status que permitem ações de exclusão e restauração.
Tópicos
