CA 证书即将过期
CA 证书将在 30 天内过期或已经过期。
此检查在 CLI 和 API 中显示为 CA_CERTIFICATE_EXPIRING_CHECK。
严重性:中
详细信息
此检查适用于状态为“ACTIVE”或“PENDING_TRANSFER”的 CA 证书。
此检查发现不合规的 CA 证书时,会返回以下原因代码:
-
CERTIFICATE_APPROACHING_EXPIRATION
-
CERTIFICATE_PAST_EXPIRATION
为什么这非常重要
已过期的 CA 证书不应被用于签发新设备证书。
如何修复
有关如何继续,请参阅安全最佳实践。您可能需要:
-
向 AWS IoT 注册新的 CA 证书。
-
验证能否使用新的 CA 证书签发设备证书。
-
使用 UpdateCACertificate 在 AWS IoT 中将旧的 CA 证书标记为“INACTIVE”。您还可以使用缓解操作实现以下目的:
-
对您的审计查找结果应用
UPDATE_CA_CERTIFICATE缓解操作以进行此更改。 -
如果要实现自定义响应以响应 Amazon SNS 消息,请应用
PUBLISH_FINDINGS_TO_SNS缓解操作。
有关更多信息,请参阅 缓解操作。
-
