本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 AWS 私有 CA CA 状态
<a name="PcaUpdateStatus"></a>

由 AWS 私有 CA 用户操作管理的 CA 的状态源于用户操作，或者在某些情况下来自服务操作。例如，CA 状态在过期时会发生变化。对 CA 管理员可用的状态选项取决于 CA 的当前状态。

AWS 私有 CA 可以报告以下状态值。下表显示每种状态下可用的 CA 功能。

**注意**  
对于除 `DELETED` 和 `FAILED` 之外的所有状态值，您需要支付 CA 的费用。


****  

| Status | 颁发证书 | 使用 OCSP 验证证书 | 生成 CRLs | 生成审计 | 您可以更新 CA 证书 | 可以吊销证书 | 您需要支付 CA 费用 | 
| --- | --- | --- | --- | --- | --- | --- | --- | 
| CREATING – 正在创建 CA。 | 否 | 否 | 否 | 否 | 否 | 否 | 是 | 
|  `PENDING_CERTIFICATE` – CA 已创建，需要证书才能正常运行。\$1  | 否 | 否 | 否 | 否 | 否 | 否 | 是 | 
| ACTIVE | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 
| DISABLED – 您已手动禁用 CA。 | 否 | 是 | 是 | 是 | 否 | 是 | 是 | 
| EXPIRED – CA 证书已过期。\$1\$1 | 否 | 否 | 否 | 否 | 是 | 否 | 是 | 
| FAILED | CreateCertificateAuthority 操作失败。这可能是由于网络中断、后端 AWS 故障或其他错误造成的。出现故障的 CA 无法恢复。请删除 CA 并创建新 CA。 | 否 | 
| DELETED | 您的 CA 处于还原期内，时长可能为 7-30 天。在此期间之后，它将被永久删除。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/PcaUpdateStatus.html) | 否 | 

要完成激活，您需要生成 CSR，从 CA 获取签名的 CA 证书，然后将证书导入 AWS 私有 CA。CSR 可以提交给您的新 CA（用于自签名），也可以提交给本地根或从属 CA。有关更多信息，请参阅 [安装 CA 证书](PCACertInstall.md)。

您不能直接更改过期 CA 的状态。如果您为 CA 导入新证书，则`ACTIVE`除非在证书过期`DISABLED`之前将其设置为，否则状态会 AWS 私有 CA 重置为。

**有关过期 CA 证书的其他注意事项：**
+ CA 证书不会自动续订。有关通过自动续订的信息 AWS Certificate Manager，请参阅[将证书续订权限分配给 ACM](assign-permissions.md#PcaPermissions)。
+ 如果您尝试使用过期 CA 颁发新证书，`IssueCertificate` API 将返回 `InvalidStateException`。过期的根 CA 必须先自行签名新的根 CA 证书，然后才能颁发新的从属证书。
+ `The ListCertificateAuthorities`并`DescribeCertificateAuthority` APIs 返回 CA 证书是否已过期的状态，无论 CA 状态是否设置为`ACTIVE`或`DISABLED`。`EXPIRED`但是，如果已过期 CA 设置为 `DELETED`，则返回状态 `DELETED`。
+ `UpdateCertificateAuthority` API 无法更新已过期 CA 的状态。
+ `RevokeCertificate` API 无法用于吊销任何已过期证书，包括 CA 证书。

## CA 状态与 CA 生命周期之间的关系
<a name="status-and-lifecycle"></a>

下图通过管理操作与 CA 状态的交互说明了 CA 生命周期。



![\[CA 管理操作和状态的交互。\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/status.png)



**图键**  

|  |  |  |  | 
| --- |--- |--- |--- |
|  ![\[Blue fabric swatch with a repeating pattern of white polka dots.\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/rectangle.png) 管理操作  | ![\[Blue parallelogram shape with angled sides and sharp corners.\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/parallelogram.png)CA 状态 |  ![\[Blue arrow pointing to the right, indicating direction or progression.\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/arrow-solid.png) 导致状态发生变化的操作  |  ![\[Blue arrow pointing right, composed of five dots increasing in size from left to right.\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/arrow-dotted.png) 新状态启用的新操作  | 

在图的顶部，管理操作通过 AWS 私有 CA 控制台、CLI 或 API 应用。这些操作将引导 CA 完成创建、激活、过期和续订的过程。CA 状态会随着手动操作或自动更新而变化（如实线所示）。在大多数情况下，新状态会带来 CA 管理员可以应用的新操作（以虚线显示）。右下角的嵌入图显示允许删除和恢复操作的可能状态值。

**Topics**
+ [CA 状态与 CA 生命周期之间的关系](#status-and-lifecycle)