本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
刪除您的私有 CA
您可以從 AWS Management Console 或 AWS CLI 永久刪除私有 CA。例如,您可能想要刪除某 CA,將其取代成具有新私有金鑰的新 CA。若要安全地刪除 CA,請遵循下列步驟:
-
建立替換 CA。
-
一旦新的私有 CA 在生產環境中,請停用舊的私有 CA,但不要立即刪除。
-
請將舊 CA 保持停用,直到其發行的所有憑證皆過期為止。
-
刪除舊 CA。
AWS 私有 CA 在處理刪除請求之前, 不會檢查所有發行的憑證是否已過期。您可以產生稽核報告來判斷哪些憑證已過期。雖然 CA 已停用,您仍可撤銷憑證,但無法發行新的憑證。
如果您必須在所有發行的憑證過期前刪除私有 CA,我們建議您撤銷 CA 憑證。CA 憑證將會列於上層 CA 的 CRL 中,私有 CA 將不受用戶端信任。
重要
私有 CA 處於 PENDING_CERTIFICATE、CREATING、EXPIRED、DISABLED 或 FAILED 狀態時,可以刪除。若要刪除處於 ACTIVE 狀態的 CA,您必須先進行停用,否則刪除請求會導致例外狀況。如果您要刪除處於 PENDING_CERTIFICATE或 DISABLED 狀態的私有 CA,您可以將其還原期間的長度設定為 7-30 天,預設值為 30。在此期間,狀態會設為 DELETED 且 CA 可進行還原。處於 CREATING或 FAILED 狀態時刪除的私有 CA 沒有指派的還原期間,且無法還原。如需詳細資訊,請參閱還原私有 CA。
私有 CA 刪除後,您不需付費。不過,如果還原已刪除的 CA,您需支付刪除到還原這段期間的費用。如需詳細資訊,請參閱的定價 AWS Private Certificate Authority。
刪除私有 CA (主控台)
-
登入 AWS 您的帳戶,並在 https://https://console.aws.amazon.com/acm-pca/home
開啟 AWS 私有 CA 主控台。 -
在私有憑證授權機構頁面上,從清單中選擇私有 CA。
-
如果您的 CA 處於
ACTIVE狀態,您必須先停用它。在 Actions (動作) 選單上,選擇 Disable (停用)。出現提示時,選擇我了解風險,繼續。 -
對於未處於
ACTIVE狀態的 CA,請選擇動作、刪除。 -
如果您的 CA 處於
DISABLED、EXPIRED或PENDING_CERTIFICATE狀態,刪除 CA 頁面可讓您指定 7-30 天的還原期間。如果您的私有 CA 未處於這些狀態之一,則無法稍後還原,且刪除是永久的。 -
選擇 刪除 。
-
如果您確定要刪除私有 CA,請在系統提示時選擇 Permanently delete (永久刪除)。私有 CA 的狀態會變更為
DELETED。不過,您可以在還原期間結束之前還原私有 CA。若要檢查私有 CA 在DELETED狀態的還原期間,請呼叫 DescribeCerticateAuthority 或 ListCertificateAuthorities API 操作。
刪除私有 CA (AWS CLI)
使用 delete-certificate-authority 命令來刪除私有 CA。
$aws acm-pca delete-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --permanent-deletion-time-in-days 16
