本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 AWS Private CA CA 狀態
由使用者動作 AWS 私有 CA 的結果所管理的 CA 狀態,或在某些情況下,由服務動作所管理。例如,CA 狀態會在到期時變更。CA 管理員可使用的狀態選項會因 CA 目前的狀態而有所不同。
AWS 私有 CA 可以報告下列狀態值。資料表顯示每種狀態中可用的 CA 功能。
注意
對於 DELETED和 以外的所有狀態值FAILED,您需要支付 CA 的費用。
| Status | 發行憑證 | 使用 OCSP 驗證憑證 | 產生 CRLs | 產生稽核 | 您可以更新 CA 憑證 | 憑證可以撤銷 | 您需支付 CA 的費用 |
|---|---|---|---|---|---|---|---|
CREATING – 正在建立 CA。 |
否 | 否 | 否 | 否 | 否 | 否 | 是 |
|
|
否 | 否 | 否 | 否 | 否 | 否 | 是 |
ACTIVE |
是 | 是 | 是 | 是 | 是 | 是 | 是 |
DISABLED – 您已手動停用 CA。 |
否 | 是 | 是 | 是 | 否 | 是 | 是 |
EXPIRED – CA 憑證已過期。** |
否 | 否 | 否 | 否 | 是 | 否 | 是 |
FAILED |
CreateCertificateAuthority 動作失敗。這可能是因為網路中斷、後端 AWS 故障或其他錯誤而發生。失敗的 CA 無法復原。請刪除 CA 並建立新的 CA。 |
否 | |||||
DELETED |
您的 CA 處於還原期間,其長度可能為 7-30 天。在此期間之後,CA 將會永久刪除。
|
否 | |||||
若要完成啟用,您需要產生 CSR、從 CA 取得簽署的 CA 憑證,以及將憑證匯入 AWS 私有 CA。該 CSR 可以提交至新 CA (供自我簽署),或提交至內部部署根 CA 或下級 CA。如需詳細資訊,請參閱安裝 CA 憑證。
您無法直接變更已過期 CA 的狀態。如果您匯入 CA 的新憑證, 會將狀態 AWS 私有 CA 重設為 ,ACTIVE除非在憑證過期DISABLED之前將其設定為 。
過期 CA 憑證的其他考量事項:
-
CA 憑證不會自動續約。如需透過 自動續約的相關資訊 AWS Certificate Manager,請參閱 將憑證續約許可指派給 ACM。
-
如果您嘗試發行 CA 過期的新憑證,API
IssueCertificate會傳回InvalidStateException。過期的根 CA 必須先自我簽署新的根 CA 憑證,才能發行新的次級憑證。 -
The ListCertificateAuthorities和DescribeCertificateAuthorityAPIs 會在 CA 憑證過期EXPIRED時傳回 的狀態,無論 CA 狀態是設為ACTIVE或DISABLED。但是,如果過期的 CA 已設為DELETED,則狀態會傳回DELETED。 -
API
UpdateCertificateAuthority無法更新過期 CA 的狀態。 -
API
RevokeCertificate無法用來撤銷任何過期的憑證,包括 CA 憑證。
CA 狀態與 CA 生命週期之間的關係
下圖會將 CA 的生命週期做為 CA 狀態與管理動作的互動顯示。
管理動作 |
|
動作會導致狀態變更 |
新狀態啟用新動作 |
在圖表頂端,管理動作會透過 AWS 私有 CA 主控台、CLI 或 API 套用。這些動作會帶領 CA 經歷建立、啟用、過期和續約。CA 狀態會在回應中變更為手動動作或自動更新 (以實線顯示)。在大多數的情況下,新的狀態會產生可讓 CA 管理員套用的新可能動作 (以虛線顯示)。右下方的內凹顯示可能的狀態值,允許刪除和還原動作。
主題
