作用中裝置憑證的中繼 CA 撤銷後檢查 - AWS IoT Device Defender
詳細資訊為什麼它很重要如何修正它

作用中裝置憑證的中繼 CA 撤銷後檢查

使用此檢查以識別所有即使在撤銷中繼 CA 後仍在作用中的相關裝置憑證。

此檢查會以 INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK 出現在 CLI 和 API 中。

嚴重性:關鍵

詳細資訊

當此檢查發現不合規時,將會傳回下列原因代碼:

  • INTERMEDIATE_CA_REVOKED_BY_ISSUER

為什麼它很重要

作用中裝置憑證的中繼 CA 撤銷後檢查會評估裝置的識別和信任狀態,方法是判定 AWS IoT Core 內是否有作用中裝置憑證的中繼核發 CA 已在 CA 鏈中遭到撤銷

已撤銷的中繼 CA 不應再用來簽署 CA 鏈中的任何 CA 或裝置憑證。在中繼 CA 撤銷之後,如果新增的裝置內含使用此 CA 憑證簽署的憑證,可能會造成安全威脅。

如何修正它

請檢閱 CA 憑證撤銷後的裝置憑證註冊活動。依照您的安全性最佳實務來減緩情況。您可能想要:

  1. 為受影響的裝置佈建由不同 CA 簽署的新憑證。

  2. 確認新憑證有效且裝置可使用這些憑證進行連線。

  3. 使用 UpdateCertificate,在 AWS IoT 中將舊憑證標示為 REVOKED。您也可以使用緩解行動:

    • 套用 UPDATE_DEVICE_CERTIFICATE 緩解行動到稽核結果來產生此變更。

    • 套用 ADD_THINGS_TO_THING_GROUP 緩解行動來新增裝置到您可以採取行動的群組。

    • 如果您要實作自訂回應以回應 Amazon SNS 訊息,套用 PUBLISH_FINDINGS_TO_SNS 緩解動作。

    • 檢閱中繼 CA 憑證遭撤回後的裝置憑證註冊活動,並考慮撤回任何可能在此時間內使用該憑證發行的裝置憑證。您可以使用 ListRelatedResourcesForAuditFinding 列出由 CA 簽署的裝置憑證,以及使用 UpdateCertificate 撤銷裝置憑證。

    • 從裝置分離舊憑證。(請參閱 DetachThingPrincipal。)

    如需詳細資訊,請參閱緩解動作