CA 证书即将过期 - AWS IoT Device Defender
详细信息为什么这非常重要如何修复

CA 证书即将过期

CA 证书将在 30 天内过期或已经过期。

此检查在 CLI 和 API 中显示为 CA_CERTIFICATE_EXPIRING_CHECK

严重性:

详细信息

此检查适用于状态为“ACTIVE”或“PENDING_TRANSFER”的 CA 证书。

此检查发现不合规的 CA 证书时,会返回以下原因代码:

  • CERTIFICATE_APPROACHING_EXPIRATION

  • CERTIFICATE_PAST_EXPIRATION

为什么这非常重要

已过期的 CA 证书不应被用于签发新设备证书。

如何修复

有关如何继续,请参阅安全最佳实践。您可能需要:

  1. 向 AWS IoT 注册新的 CA 证书。

  2. 验证能否使用新的 CA 证书签发设备证书。

  3. 使用 UpdateCACertificate 在 AWS IoT 中将旧的 CA 证书标记为“INACTIVE”。您还可以使用缓解操作实现以下目的:

    • 对您的审计查找结果应用 UPDATE_CA_CERTIFICATE 缓解操作以进行此更改。

    • 如果要实现自定义响应以响应 Amazon SNS 消息,请应用 PUBLISH_FINDINGS_TO_SNS 缓解操作。

    有关更多信息,请参阅缓解操作