本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 刪除您的私有 CA
<a name="PCADeleteCA"></a>

您可以從 AWS 管理主控台 或 AWS CLI 永久刪除私有 CA。例如，您可能想要刪除某 CA，將其取代成具有新私有金鑰的新 CA。若要安全地刪除 CA，請遵循下列步驟：

1. 建立替換 CA。

1. 一旦新的私有 CA 在生產環境中，請停用舊的私有 CA，但不要立即刪除。

1. 請將舊 CA 保持停用，直到其發行的所有憑證皆過期為止。

1. 刪除舊 CA。

AWS 私有 CA 在處理刪除請求之前， 不會檢查所有發行的憑證是否已過期。您可以產生[稽核報告](PcaAuditReport.md)來判斷哪些憑證已過期。雖然 CA 已停用，您仍可撤銷憑證，但無法發行新的憑證。

如果您必須在所有發行的憑證過期前刪除私有 CA，我們建議您撤銷 CA 憑證。CA 憑證將會列於上層 CA 的 CRL 中，私有 CA 將不受用戶端信任。

**重要**  
私有 CA 處於 `PENDING_CERTIFICATE`、`CREATING`、`EXPIRED`、`DISABLED` 或 `FAILED` 狀態時，可以刪除。若要刪除處於 `ACTIVE` 狀態的 CA，您必須先進行停用，否則刪除請求會導致例外狀況。如果您要刪除處於 `PENDING_CERTIFICATE`或 `DISABLED` 狀態的私有 CA，您可以將其還原期間的長度設定為 7-30 天，預設值為 30。在此期間，狀態會設為 `DELETED` 且 CA 可進行還原。處於 `CREATING`或 `FAILED` 狀態時刪除的私有 CA 沒有指派的還原期間，且無法還原。如需詳細資訊，請參閱[還原私有 CA](PCARestoreCA.md)。  
私有 CA 刪除後，您不需付費。不過，如果還原已刪除的 CA，您需支付刪除到還原這段期間的費用。如需詳細資訊，請參閱[的定價 AWS 私有憑證授權單位](PcaWelcome.md#PcaPricing)。

**刪除私有 CA (主控台)**

1. 登入 AWS 您的帳戶，並在 https：//[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) 開啟 AWS 私有 CA 主控台。

1. 在**私有憑證授權單位**頁面上，從清單中選擇私有 CA。

1. 如果您的 CA 處於 `ACTIVE` 狀態，您必須先停用它。在 **Actions (動作)** 選單上，選擇 **Disable (停用)**。出現提示時，選擇**我了解風險，繼續**。

1. 對於未處於 `ACTIVE` 狀態的 CA，請選擇**動作**、**刪除**。

1. 如果您的 CA 處於 `DISABLED`、 `EXPIRED`或 `PENDING_CERTIFICATE` 狀態，**刪除 CA** 頁面可讓您指定 7-30 天的還原期間。如果您的私有 CA 不在這些狀態之一，則無法稍後還原，且刪除是永久的。

1. 選擇 **刪除**。

1. 如果您確定要刪除私有 CA，請在系統提示時選擇 **Permanently delete (永久刪除)**。私有 CA 的狀態會變更為 `DELETED`。不過，您可以在還原期間結束之前還原私有 CA。若要檢查`DELETED`處於 狀態之私有 CA 的還原期間，請呼叫 [DescribeCerticateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DescribeCertificateAuthority.html) 或 [ListCertificateAuthorities](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ListCertificateAuthorities.html) API 操作。

**刪除私有 CA (AWS CLI)**  
使用 [delete-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-certificate-authority.html) 命令來刪除私有 CA。

```
$ aws acm-pca delete-certificate-authority \
     --certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
     --permanent-deletion-time-in-days 16
```