# Zertifizierungsstellen-Zertifikat läuft ab
<a name="audit-chk-ca-cert-approaching-expiration"></a>

Ein Zertifizierungsstellen-Zertifikat läuft in 30 Tagen ab oder ist abgelaufen.

Diese Prüfung wird wie `CA_CERTIFICATE_EXPIRING_CHECK` in der CLI und API angezeigt.

**Schweregrad:** Mittel

## Details
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

Diese Prüfung gilt für Zertifizierungsstellen-Zertifikate mit dem Status ACTIVE oder PENDING\$1TRANSFER.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifizierungsstellen-Zertifikat findet:
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## Warum dies wichtig ist
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

Ein abgelaufenes Zertifizierungsstellen-Zertifikat sollte nicht zum Signieren neuer Gerätezertifikate verwendet werden.

## So lässt es sich beheben
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

Lesen Sie in Ihren bewährten Methoden das weitere Vorgehen nach. Mögliche Aktionen:

1. Registrieren Sie ein neues Zertifizierungsstellen-Zertifikat bei AWS IoT.

1. Überprüfen Sie, ob Sie Gerätezertifikate mit dem neuen Zertifizierungsstellen-Zertifikat signieren können.

1. Verwenden Sie [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) zum Kennzeichnen des alten Zertifizierungsstellen-Zertifikats als INACTIVE in AWS IoT. Sie können auch Maßnahmen zur Schadensbegrenzung verwenden, um Folgendes zu tun:
   + Wenden Sie die Abhilfemaßnahme `UPDATE_CA_CERTIFICATE` auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen. 
   + Wenden Sie die Abhilfemaßnahme `PUBLISH_FINDINGS_TO_SNS` an, wenn Sie eine benutzerdefinierte Antwort als Antwort auf die Amazon SNS-Nachricht implementieren möchten. 

   Weitere Informationen finden Sie unter [Abschwächungsaktionen](dd-mitigation-actions.md).