# Das gesperrte Zertifikatstellen-Zertifikat ist immer noch aktiv.
<a name="audit-chk-revoked-ca-cert"></a>

Ein CA-Zertifikat wurde gesperrt, ist in aber weiterhin aktiv AWS IoT.

Diese Prüfung wird wie `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK` in der CLI und API angezeigt.

**Schweregrad:** Kritisch

## Details
<a name="audit-chk-revoked-ca-cert-details"></a>

Ein CA-Zertifikat ist in der von der ausstellenden Behörde geführten Zertifikatssperrliste als gesperrt gekennzeichnet, ist in jedoch weiterhin als ACTIVE oder PENDING TRANSFER markiert AWS IoT.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifizierungsstellen-Zertifikat findet:
+ CERTIFICATE\$1REVOKED\$1BY\$1ISSUER

## Warum dies wichtig ist
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

Ein gesperrtes CA-Zertifikat sollte nicht mehr zum Signieren von Gerätezertifikaten verwendet werden. Es wurde möglicherweise widerrufen, da es kompromittiert wurde. Neu hinzugefügte Geräte mit Zertifikaten, die mit diesem CA-Zertifikat signiert wurden, stellen möglicherweise ein Sicherheitsrisiko dar. 

## So lässt es sich beheben
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. Verwenden Sie [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) zum Kennzeichnen des CA-Zertifikats als INACTIVE in AWS IoT. Sie können Abhilfemaßnahmen auch für Folgendes verwenden:
   + Wenden Sie die Abhilfemaßnahme `UPDATE_CA_CERTIFICATE` auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen. 
   + Wenden Sie die Abhilfemaßnahme `PUBLISH_FINDINGS_TO_SNS` an, um eine benutzerdefinierte Antwort als Reaktion auf die Amazon SNS-Nachricht zu implementieren. 

   Weitere Informationen finden Sie unter [Abschwächungsaktionen](dd-mitigation-actions.md).

1. Überprüfen Sie die Gerätezertifikat-Registrierungsaktivität für die Zeit nach dem Widerruf des CA-Zertifikats und ziehen Sie in Betracht, alle Gerätezertifikate, die während dieser Zeit ausgestellt wurden, zu widerrufen. Verwenden Sie [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) zum Auflisten der mit dem CA-Zertifikat signierten Gerätezertifikate und [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) zum Sperren eines Gerätezertifikats.