本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 AWS 私有 CA CA 狀態
<a name="PcaUpdateStatus"></a>

由使用者動作或在某些情況下來自服務動作 AWS 私有 CA 的結果所管理的 CA 狀態。例如，CA 狀態會在到期時變更。CA 管理員可使用的狀態選項會因 CA 目前的狀態而有所不同。

AWS 私有 CA 可以報告下列狀態值。資料表顯示每個狀態中可用的 CA 功能。

**注意**  
對於 `DELETED`和 以外的所有狀態值`FAILED`，您需要支付 CA 的費用。


****  

| 狀態 | 發行憑證 | 使用 OCSP 驗證憑證 | 產生 CRLs | 產生稽核 | 您可以更新 CA 憑證 | 憑證可以撤銷 | 您需支付 CA 的費用 | 
| --- | --- | --- | --- | --- | --- | --- | --- | 
| CREATING – 正在建立 CA。 | 否 | 否 | 否 | 否 | 否 | 否 | 是 | 
|  `PENDING_CERTIFICATE` – 已建立 CA，且需要憑證才能運作。\$1  | 否 | 否 | 否 | 否 | 否 | 否 | 是 | 
| ACTIVE | 是 | 是 | 是 | 是 | 是 | 是 | 是 | 
| DISABLED – 您已手動停用 CA。 | 否 | 是 | 是 | 是 | 否 | 是 | 是 | 
| EXPIRED – CA 憑證已過期。\$1\$1 | 否 | 否 | 否 | 否 | 是 | 否 | 是 | 
| FAILED | CreateCertificateAuthority 動作失敗。這可能是因為網路中斷、後端 AWS 故障或其他錯誤而發生。失敗的 CA 無法復原。請刪除 CA 並建立新的 CA。 | 否 | 
| DELETED | 您的 CA 處於還原期間，長度可以是 7-30 天。在此期間之後，CA 將會永久刪除。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/PcaUpdateStatus.html) | 否 | 

若要完成啟用，您需要產生 CSR、從 CA 取得已簽署的 CA 憑證，以及將憑證匯入 AWS 私有 CA。CSR 可以提交至新的 CA （用於自我簽署），或提交至內部部署根 CA 或次級 CA。如需詳細資訊，請參閱[安裝 CA 憑證](PCACertInstall.md)。

您無法直接變更已過期 CA 的狀態。如果您匯入 CA 的新憑證， 會將狀態 AWS 私有 CA 重設為 ，`ACTIVE`除非在憑證過期`DISABLED`之前將其設定為 。

**過期 CA 憑證的其他考量事項：**
+ CA 憑證不會自動續約。如需透過 自動續約的詳細資訊 AWS Certificate Manager，請參閱 [將憑證續約許可指派給 ACM](assign-permissions.md#PcaPermissions)。
+ 如果您嘗試使用過期的 CA 發行新憑證，則 `IssueCertificate` API 會傳回 `InvalidStateException`。過期的根 CA 必須先自我簽署新的根 CA 憑證，才能發行新的次級憑證。
+ 如果 CA 憑證已過期，`The ListCertificateAuthorities` 和 `DescribeCertificateAuthority` API 便會傳回 `EXPIRED` 狀態，無論 CA 狀態是設為 `ACTIVE` 或是 `DISABLED`。但是，如果過期的 CA 已設為 `DELETED`，則狀態會傳回 `DELETED`。
+ `UpdateCertificateAuthority` API 無法更新已過期 CA 的狀態。
+ `RevokeCertificate` API 無法用來撤銷任何過期的憑證，包括 CA 憑證。

## CA 狀態與 CA 生命週期之間的關係
<a name="status-and-lifecycle"></a>

下圖會將 CA 的生命週期做為 CA 狀態與管理動作的互動顯示。



![\[CA 管理動作和狀態的互動。\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/status.png)



**圖表索引鍵**  

|  |  |  |  | 
| --- |--- |--- |--- |
|  ![\[Blue fabric swatch with a repeating pattern of white polka dots.\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/rectangle.png) 管理動作  | ![\[Blue parallelogram shape with angled sides and sharp corners.\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/parallelogram.png)CA 狀態 |  ![\[Blue arrow pointing to the right, indicating direction or progression.\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/arrow-solid.png) 動作會導致狀態變更  |  ![\[Blue arrow pointing right, composed of five dots increasing in size from left to right.\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/arrow-dotted.png) 新狀態會啟用新動作  | 

在圖表頂端，管理動作會透過 AWS 私有 CA 主控台、CLI 或 API 套用。這些動作會帶領 CA 經歷建立、啟用、過期和續約。CA 狀態會在回應中變更為手動動作或自動更新 (以實線顯示)。在大多數的情況下，新的狀態會產生可讓 CA 管理員套用的新可能動作 (以虛線顯示)。右下方的內凹顯示可能的狀態值，允許刪除和還原動作。

**Topics**
+ [CA 狀態與 CA 生命週期之間的關係](#status-and-lifecycle)