本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 删除私有 CA
<a name="PCADeleteCA"></a>

您可以从 AWS 管理控制台 或中 AWS CLI 永久删除私有 CA。您可能想删除一个 CA，例如，用具有新私钥的新 CA 来替换它。要安全删除 CA，请按照下列步骤操作：

1. 创建替换 CA。

1. 一旦新的私有 CA 投入使用，则禁用旧版，但不要立即将其删除。

1. 将旧版 CA 保持禁用状态，直到其颁发的所有证书过期。

1. 删除旧版 CA。

AWS 私有 CA 在处理删除请求之前，不会检查所有已颁发的证书是否都已过期。您可以生成[审核报告](PcaAuditReport.md)来确定哪些证书已过期。当 CA 被禁用时，您可以吊销证书，但不能颁发新证书。

如果您必须在私有 CA 颁发的所有证书过期之前删除该 CA，建议您同时吊销 CA 证书。该 CA 证书将列在父 CA 的 CRL 中，客户端将不信任该私有 CA。

**重要**  
私有 CA 在处于 `PENDING_CERTIFICATE`、`CREATING`、`EXPIRED`、`DISABLED` 或 `FAILED` 状态时可被删除。要删除处于 `ACTIVE` 状态的 CA，必须先将其禁用，否则删除请求将引发异常。如果您要删除处于 `PENDING_CERTIFICATE` 或 `DISABLED` 状态的私有 CA，可将其还原期设置为 7-30 天（默认值为 30 天）。在此期间，状态设置为 `DELETED`，CA 可恢复。处于 `CREATING` 或 `FAILED` 状态时删除的私有 CA 没有分配的还原期，因此无法还原。有关更多信息，请参阅 [恢复私有 CA](PCARestoreCA.md)。  
删除私有 CA 后，您无需再为其付费。但是，如果还原已删除的 CA，则需支付删除到还原这个时段内的费用。有关更多信息，请参阅 [的定价 AWS 私有证书颁发机构](PcaWelcome.md#PcaPricing)。

**删除私有 CA（控制台）**

1. 登录您的 AWS 账户并打开 AWS 私有 CA 控制台，网址为[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)。

1. 在**私有证书颁发机构**页面上，从列表中选择您的私有 CA。

1. 如果您的 CA 处于 `ACTIVE` 状态，则必须先将其禁用。在 **Actions (操作)** 菜单上，选择 **Disable (禁用)**。出现提示时，选择**我了解风险，继续**。

1. 对于未处于 `ACTIVE` 状态的 CA，请选择**操作**、**删除**。

1. 如果您的 CA 处于 `DISABLED`、`EXPIRED`、或 `PENDING_CERTIFICATE` 状态，通过**删除 CA** 页面可让您指定 7-30 天的还原期。如果您的私有 CA 未处于其中任一状态，则它稍后将无法还原，删除为永久性。

1. 选择**删除**。

1. 如果您确定要删除私有 CA，请在系统提示您时，选择 **Permanently delete (永久删除)**。私有 CA 的状态将更改为 `DELETED`。不过，在还原期结束前，您可以还原私有 CA。要查看该`DELETED`州私有 CA 的恢复周期，请调用[DescribeCerticateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DescribeCertificateAuthority.html)或 [ListCertificateAuthorities](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ListCertificateAuthorities.html)API 操作。

**删除私有 CA (AWS CLI)**  
使用 [delete-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-certificate-authority.html) 命令可删除私有 CA。

```
$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
     --permanent-deletion-time-in-days 16
```