# Expiration du certificat de l’appareil
<a name="audit-chk-device-cert-approaching-expiration"></a>

Un certificat d’appareil arrive à expiration dans la période de seuil configurée ou a expiré. Le seuil de vérification de l’expiration du certificat peut être configuré entre 30 jours (minimum) et 3 652 jours (10 ans, maximum) avec une valeur par défaut de 30 jours.

Cette vérification apparaît comme `DEVICE_CERTIFICATE_EXPIRING_CHECK` dans la CLI et l’API.

**Gravité :** Moyenne

## Détails
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

Ce contrôle s’applique aux certificats d’appareil qui sont ACTIVE ou PENDING\$1TRANSFER.

Les codes de motif suivants sont renvoyés lorsque ce contrôle trouve un certificat d’appareil non conforme :
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## Pourquoi est-ce important ?
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

Un certificat d’appareil ne doit pas être utilisé après son expiration.

## Configuration de la vérification de l’expiration du certificat d’appareil
<a name="w2aab9c11c43c13"></a>

Cette configuration vous permet de surveiller et de recevoir des alertes pour les certificats approchant de leur date d’expiration sur l’ensemble de votre flotte d’appareils. Par exemple, si vous souhaitez être averti lorsque les certificats arrivent à expiration dans les 30 jours, vous pouvez configurer la vérification comme suit :

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## Comment réparer
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

Consultez vos bonnes pratiques de sécurité pour savoir comment procéder. Il se peut que vous souhaitiez :

1. Allouer un nouveau certificat et l’attacher à l’appareil. 

1. Vérifier que le nouveau certificat est valide et que l’appareil peut l’utiliser pour se connecter.

1. Utilisez [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) pour marquer l’ancien certificat comme étant INACTIVE dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :
   + Appliquer l’action d’atténuation `UPDATE_DEVICE_CERTIFICATE` sur vos résultats d’audit pour effectuer ce changement. 
   + Appliquer l’action d’atténuation `ADD_THINGS_TO_THING_GROUP` pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.
   + Appliquer l’action d’atténuation `PUBLISH_FINDINGS_TO_SNS` si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS. 

   Pour de plus amples informations, consultez [Actions d'atténuation](dd-mitigation-actions.md). 

1. Détacher l’ancien certificat de l’appareil. (Voir [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html).)