本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 AWS 私有 CA CA 状态
<a name="PcaUpdateStatus"></a>

由 AWS 私有 CA 用户操作管理的 CA 的状态源于用户操作，或者在某些情况下来自服务操作。例如，CA 状态在过期时会发生变化。对 CA 管理员可用的状态选项取决于 CA 的当前状态。

AWS 私有 CA 可以报告以下状态值。下表显示每种状态下可用的 CA 功能。

**注意**  
对于除 `DELETED` 和 `FAILED` 之外的所有状态值，您需要支付 CA 的费用。


****  

<table>
<thead>
  <tr><th>Status</th><th>颁发证书</th><th>使用 OCSP 验证证书</th><th>生成 CRL</th><th>生成审计</th><th>您可以更新 CA 证书</th><th>可以吊销证书</th><th>您需要支付 CA 费用</th></tr>
</thead>
<tbody>
  <tr><td>CREATING – 正在创建 CA。</td><td>否</td><td>否</td><td>否</td><td>否</td><td>否</td><td>否</td><td>是</td></tr>
  <tr><td>`PENDING_CERTIFICATE` – CA 已创建，需要证书才能正常运行。\*</td><td>否</td><td>否</td><td>否</td><td>否</td><td>否</td><td>否</td><td>是</td></tr>
  <tr><td>ACTIVE</td><td>是</td><td>是</td><td>是</td><td>是</td><td>是</td><td>是</td><td>是</td></tr>
  <tr><td>DISABLED – 您已手动禁用 CA。</td><td>否</td><td>是</td><td>是</td><td>是</td><td>否</td><td>是</td><td>是</td></tr>
  <tr><td>EXPIRED – CA 证书已过期。\*\*</td><td>否</td><td>否</td><td>否</td><td>否</td><td>是</td><td>否</td><td>是</td></tr>
  <tr><td>FAILED</td><td colspan="6">CreateCertificateAuthority 操作失败。这可能是由于网络中断、后端 AWS 故障或其他错误造成的。出现故障的 CA 无法恢复。请删除 CA 并创建新 CA。</td><td>否</td></tr>
  <tr><td>DELETED</td><td colspan="6">您的 CA 处于还原期内，时长可能为 7-30 天。在此期间之后，它将被永久删除。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/PcaUpdateStatus.html)</td><td>否</td></tr>
</tbody>
</table>


要完成激活，您需要生成 CSR，从 CA 获取签名的 CA 证书，然后将证书导入 AWS 私有 CA。CSR 可以提交给您的新 CA（用于自签名），也可以提交给本地根或从属 CA。有关更多信息，请参阅 [安装 CA 证书](PCACertInstall.md)。

您不能直接更改过期 CA 的状态。如果您为 CA 导入新证书，则会将状态 AWS 私有 CA 重置为，`ACTIVE`除非在证书过期`DISABLED`之前将其设置为。

**有关过期 CA 证书的其他注意事项：**
+ CA 证书不会自动续订。有关通过自动续订的信息 AWS Certificate Manager，请参阅[将证书续订权限分配给 ACM](assign-permissions.md#PcaPermissions)。
+ 如果您尝试使用过期 CA 颁发新证书，`IssueCertificate` API 将返回 `InvalidStateException`。过期的根 CA 必须先自行签名新的根 CA 证书，然后才能颁发新的从属证书。
+ 如果 CA 证书已过期，则 `The ListCertificateAuthorities` 和 `DescribeCertificateAuthority` API 返回状态 `EXPIRED`，无论 CA 状态设置为 `ACTIVE` 还是 `DISABLED`。但是，如果已过期 CA 设置为 `DELETED`，则返回状态 `DELETED`。
+ `UpdateCertificateAuthority` API 无法更新已过期 CA 的状态。
+ `RevokeCertificate` API 无法用于吊销任何已过期证书，包括 CA 证书。

## CA 状态与 CA 生命周期之间的关系
<a name="status-and-lifecycle"></a>

下图通过管理操作与 CA 状态的交互说明了 CA 生命周期。



![CA 管理操作和状态的交互。](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/status.png)



**图键**  

|  |  |  |  | 
| --- |--- |--- |--- |
| ![蓝色矩形形状表示图中的管理操作。](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/rectangle.png)管理操作 | ![蓝色平行四边形形状，侧面倾斜，角尖尖锐。](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/parallelogram.png)CA 状态 | ![指向右边的蓝色箭头，表示方向或进展。](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/arrow-solid.png)导致状态发生变化的操作 | ![四个点，后跟一个向右的箭头，表示进展或继续。](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/arrow-dotted.png)新状态启用的新操作 | 

在图的顶部，管理操作通过 AWS 私有 CA 控制台、CLI 或 API 应用。这些操作将引导 CA 完成创建、激活、过期和续订的过程。CA 状态会随着手动操作或自动更新而变化（如实线所示）。在大多数情况下，新状态会带来 CA 管理员可以应用的新操作（以虚线显示）。右下角的嵌入图显示允许删除和恢复操作的可能状态值。

**Topics**
+ [CA 状态与 CA 生命周期之间的关系](#status-and-lifecycle)