私有CA生命周期管理

创建CA

私有CA分为根CA与从属CA，您可以指定将要创建的私有CA类型。其中，根CA是自签名证书，可直接创建。从属CA属于子CA，创建前需要先创建其父CA。因此，创建私有CA时，有以下三种情况：

• 创建根CA，创建成功后，证书为“已激活”状态。根CA的密钥用途固定为数字签名、签发证书、签发CRL，即可用于签发证书、吊销证书以及签发证书吊销列表，无法进行自定义。
• 创建从属CA，并直接激活，创建成功后，从属CA为“已激活”状态。其密钥用途默认与根CA一致，若有特殊要求，您也可以自定义从属CA密钥用途。
• 创建从属CA，但不立即激活，创建成功后，从属CA为“待激活”状态。该状态下从属CA无任何功能，只有激活后方可正常使用，该状态支持立即删除。

私有CA的通用名称允许重复，推荐您为不同的CA取带有标识性的名称，以便区别，如ROOT CA G0、ROOT CA G1。

激活CA

将“待激活”状态的从属CA激活，使其可正常使用。从属CA一旦激活，将开始计费，且无法回到“待激活”状态。

禁用CA

禁用私有CA签发证书的功能，但保留其吊销证书和签发证书吊销列表的功能。只有“已激活”状态的私有CA支持“禁用”操作，禁用后，私有CA状态为“已禁用”。

通常，在旧CA即将过期时，会将其禁用，从而保证新证书将不再通过其签发，而是由新CA来签发。保留吊销证书的功能，保证新、旧证书完成替换前，旧证书仍然可正常工作。

启用CA

将处于“已禁用”状态的私有CA启用，恢复其签发证书的功能。启用“已禁用”的私有CA后，私有CA状态转为“已激活”。

删除CA

对私有CA执行删除操作。鉴于私有CA的重要性，为避免误操作，PCA服务对不同状态下的私有CA，被执行删除操作后，处理的策略不同。

• “已禁用”和“已过期”状态：仅提供计划删除，可选的延迟删除周期为7~30天，在删除时间到之前，CA处于“计划删除”状态。处于“计划删除”状态的CA，可通过“取消删除”操作，将CA恢复到“已禁用”或“已过期”状态（删除前的状态）。一旦到了删除时间，CA将被定时任务进行删除，且不可恢复。
• “待激活”和“已吊销”状态：仅提供立即删除，即一旦执行删除操作，该状态下的CA将被立即删除，且不可恢复。
• “已激活”状态：不支持删除操作，若需要删除，需要先将其禁用，然后再执行删除操作。

私有CA被永久删除后，其下所有证书将无法执行“吊销”操作，其与其子CA下所有私有证书将无法执行“导出”操作，且无法再更新证书吊销列表，请谨慎操作！

• 执行删除操作前，请排查和确认私有CA是否仍在使用，删除后是否会导致自建的PKI体系不可用。
• 执行删除操作前，若私有CA确认已不再使用，应将其下所有未过期证书都进行吊销，并在所有终端中将其从信任列表中移除（若是从属CA，则应该将其吊销，然后再删除）。

取消删除CA

将处于“计划删除”状态的私有CA，恢复为其执行删除之前状态。

执行“取消删除”操作后，PCA服务将会补收私有CA处于“计划删除”状态期间的费用，请谨慎操作！

吊销CA

吊销不再使用或者密钥材料已暴露的从属CA。吊销后的从属CA，将完全失去所有功能，且无法再恢复。若其父CA启用了证书吊销列表配置，则可在证书吊销列表中查询其吊销信息。

• 吊销CA属于高危行为，请谨慎操作！
• 校验过程中需要查询证书吊销列表，方可验证正在校验的证书是否被吊销，否则，将可能与被吊销的证书进行通信，存在安全风险。
• 私有CA被吊销后，其与其子CA签发的所有证书都将不再被信任（被发布至证书吊销列表中时），即包含私有CA的所有证书链的校验都将会失败。

CA过期处理

当私有CA过了有效期，后台定时任务会将私有CA状态置为“已过期”。