管理基于证书的身份验证

启用基于证书的身份验证后，请查看以下任务。

私有 CA 证书

在典型配置中，私有 CA 证书的有效期为 10 年。有关更换证书过期的私有 CA 或重新颁发具有新有效期的私有 CA 的更多信息，请参阅管理私有 CA 生命周期

最终用户证书

P AWS rivate CA 为基于 AppStream 2.0 证书的身份验证颁发的最终用户证书不需要续订或撤销。这些证书是短暂的。 AppStream 2.0 会为每个新会话自动颁发新证书，对于持续时间较长的会话，则每 24 小时自动颁发一次新证书。 AppStream 2.0 会话控制这些最终用户证书的使用。如果您结束会话， AppStream 2.0 将停止使用该证书。这些最终用户证书的有效期比典型的 AWS 私有 CA CRL 发行版短。因此，无需吊销最终用户证书，这些证书也不会出现在 CRL 中。

审核报告

您可以创建审核报告，以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息，请参阅将审核报告与私有 CA 结合使用。

日志记录和监控

在 AppStream 2.0 之前 CloudTrail ，您可以使用记录对私有 CA 的 API 调用。有关更多信息，请参阅什么是 AWS CloudTrail？ 和使用 CloudTrail。在 CloudTrail 事件历史记录中，您可以查看GetCertificate由 2.0 用户名IssueCertificate创建的 acm-pca.amazonaws.com 事件源中的事件名称。 AppStream EcmAssumeRoleSession每个基于 AppStream 2.0 证书的身份验证请求都将记录这些事件。有关更多信息，请参阅使用事件历史记录查看 CloudTrail 事件。