# Zwischenzertifizierungsstelle für aktive Gerätezertifikate gesperrt
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

Verwenden Sie diese Prüfung, um alle zugehörigen Gerätezertifikate zu identifizieren, die trotz Widerruf einer Zwischenzertifizierungsstelle noch aktiv sind.

Diese Prüfung wird wie `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` in der CLI und API angezeigt.

**Schweregrad:** Kritisch

## Details
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung Nichtkonformität findet:
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER

## Warum dies wichtig ist
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

Bei der Prüfung der temporären Zertifizierungsstelle, die für aktive Gerätezertifikate gesperrt wurde, werden Geräteidentität und Vertrauen geprüft, indem festgestellt wird, ob aktive Gerätezertifikate in AWS IoT Core vorhanden sind, in denen die ausstellenden Zwischenzertifizierungsstellen in der Zertifizierungsstellenkette gesperrt wurden.

Eine gesperrte Zwischenzertifizierungsstelle sollte nicht mehr zum Signieren anderer Zertifizierungsstellen oder Gerätezertifikate in der Zertifizierungsstellenkette verwendet werden. Neu hinzugefügte Geräte mit Zertifikaten, die nach dem Widerruf des CA-Zwischenzertifikats mit diesem CA-Zertifikat signiert wurden, stellen möglicherweise ein Sicherheitsrisiko dar.

## So lässt es sich beheben
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

Überprüfen Sie die Aktivitäten zur Registrierung von Gerätezertifikaten für die Zeit nach dem Widerruf des Zertifizierungsstellen-Zertifikats. Befolgen Sie Ihre bewährten Sicherheitsmethoden, um die Situation zu entschärfen. Mögliche Aktionen:

1. Stellen Sie für die betroffenen Geräte neue Zertifikate bereit, die von einer anderen Zertifizierungsstelle signiert sind.

1. Überprüfen Sie, ob die neuen Zertifikate gültig sind und ob die Geräte mit ihnen eine Verbindung herstellen können.

1. Verwenden Sie [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) zum Kennzeichnen des alten Zertifikats als REVOKED in AWS IoT. Sie können Abhilfemaßnahmen auch für Folgendes verwenden:
   + Wenden Sie die Abhilfemaßnahme `UPDATE_DEVICE_CERTIFICATE` auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen. 
   + Wenden Sie die Abhilfemaßnahme `ADD_THINGS_TO_THING_GROUP` an, um das Geräts zu einer Gruppe hinzuzufügen, über der Aktionen ausgeführt werden können.
   + Wenden Sie die Abhilfemaßnahme `PUBLISH_FINDINGS_TO_SNS` an, wenn Sie eine benutzerdefinierte Antwort als Antwort auf die Amazon SNS-Nachricht implementieren möchten. 
   + Überprüfen Sie die Gerätezertifikat-Registrierungsaktivität für die Zeit nach dem Widerruf des Zertifizierungsstellen-Zwischenzertifikats und ziehen Sie in Betracht, alle Gerätezertifikate, die während dieser Zeit ausgestellt wurden, zu widerrufen. Verwenden Sie [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) zum Auflisten der mit dem Zertifikatstellen-Zertifikat signierten Gerätezertifikate und [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) zum Sperren eines Gerätezertifikats.
   + Entfernen Sie das alte Zertifikat von dem Gerät. (Siehe [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)

   Weitere Informationen finden Sie unter [Abschwächungsaktionen](dd-mitigation-actions.md).