轮换 IAM Identity Center 证书

轮换 IAM Identity Center 证书是一个多步骤过程，涉及以下内容：

• 生成新证书

• 将新证书添加到服务提供商的网站

• 将新证书设置为活跃状态

• 删除非活跃状态证书

按以下顺序使用以下所有过程来完成给定应用程序的证书轮换过程。

步骤 1：生成新证书

可以将您生成的新 IAM Identity Center 证书配置为使用以下属性：

• 有效期——指定新 IAM Identity Center 证书到期之前分配的时间（以月为单位）。

• 密钥大小——确定密钥在加密算法中必须使用的位数。您可以将此值设置为 1024 位 RSA 或 2048 位 RSA。有关密码学中密钥大小的工作原理的一般信息，请参阅密钥大小。

• 算法-指定 IAM Identity Center 在签署 SAML 断言/响应时使用的算法。您可以将此值设置为 SHA-1 或 SHA-256。 AWS 建议尽可能使用 SHA-256，除非您的服务提供商需要 SHA-1。有关密码算法工作原理的一般信息，请参阅公钥加密。

1. 打开 IAM Identity Center 控制台。

2. 选择应用程序。

3. 在应用程序列表中，选择要为其生成新证书的应用程序。

4. 在应用程序详细信息页面上，选择配置选项卡。在 IAM Identity Center 元数据下，选择管理证书。如果您没有配置选项卡或配置设置不可用，则无需轮换此应用程序的证书。

5. 在 IAM Identity Center 证书页面上，选择生成新证书。

6. 在生成新的 IAM Identity Center 证书对话框中，为有效期、算法和密钥大小指定相应的值。然后选择生成。

步骤 2：更新服务提供商的网站

使用以下步骤重新建立与应用程序服务提供商的信任。

重要

当您将新证书上传到服务提供商时，您的用户可能无法通过身份验证。要纠正这种情况，请按下一步所述将新证书设置为活跃状态。

1. 在 IAM Identity Center 控制台中，选择您刚刚为其生成新证书的应用程序。

2. 在应用程序详细信息页面上，选择编辑配置。

3. 选择查看说明，然后按照特定应用程序服务提供商网站的说明添加新生成的证书。

步骤 3：将新证书设置为活跃状态

一个应用程序最多可以分配两个证书。IAM Identity Center 将使用设置为活动状态的证书签署所有 SAML 断言。

1. 打开 IAM Identity Center 控制台。

2. 选择应用程序。

3. 在应用程序列表中，选择您的应用程序。

4. 在应用程序详细信息页面上，选择配置选项卡。在 IAM Identity Center 元数据下，选择管理证书。

5. 在 IAM Identity Center 证书页面上，选择要设置为活跃的证书，选择操作，然后选择设置为活跃。

6. 在将所选证书设置为活跃状态对话框中，确认您了解将证书设置为活动可能需要重新建立信任，然后选择设为活跃。

步骤 4：删除旧证书

使用以下过程完成应用程序的证书轮换流程。您只能删除处于非活跃状态的证书。

1. 打开 IAM Identity Center 控制台。

2. 选择应用程序。

3. 在应用程序列表中，选择您的应用程序。

4. 在应用程序详细信息页面上，选择配置选项卡。在 IAM Identity Center 元数据下，选择管理证书。

5. 在 IAM Identity Center 证书页面上，选择要删除的证书。选择 操作，然后选择 删除。

6. 在删除证书对话框中，选择删除。