El certificado de entidad de certificación está caducando - AWS IoT Device Defender

El certificado de entidad de certificación está caducando

Un certificado de entidad de certificación va a caducar dentro de 30 días o ha caducado.

Esta comprobación aparece como CA_CERTIFICATE_EXPIRING_CHECK en la CLI y la API.

Gravedad: media

Detalles

Esta comprobación se aplica a los certificados de CA ACTIVE o PENDING_TRANSFER.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado de entidad de certificación no conforme:

  • CERTIFICATE_APPROACHING_EXPIRATION

  • CERTIFICATE_PAST_EXPIRATION

¿Por qué importa?

Un certificado de entidad de certificación caducado no debe utilizarse para firmar nuevos certificados de dispositivos.

Cómo solucionarlo

Consulte las prácticas recomendadas de seguridad para saber cómo proceder. Es posible que desee:

  1. Registrar un nuevo certificado de entidad de certificación en AWS IoT.

  2. Verificar que puede firmar certificados de dispositivo con el nuevo certificado de entidad de certificación.

  3. Utilice UpdateCACertificate para marcar el antiguo certificado de entidad de certificación como INACTIVO en AWS IoT. También puede utilizar acciones de mitigación para realizar las siguientes acciones:

    • Aplicar la acción de mitigación UPDATE_CA_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    Para obtener más información, consulte Acciones de mitigación.