# CA 証明書の有効期限が切れます
<a name="audit-chk-ca-cert-approaching-expiration"></a>

CA 証明書が 30 日以内に有効期限が切れるか、既に切れています。

このチェックは、CLI および API で `CA_CERTIFICATE_EXPIRING_CHECK` として表示されます。

**重大度:** 中

## Details
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

このチェック項目は、「ACTIVE」または「PENDING\$1TRANSFER」になっている CA 証明書に適用されます。

このチェックにより不適合の CA 証明書が見つかった場合、次の理由コードが返されます。
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## 重要な理由
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

期限切れ CA 証明書は、新しいデバイス証明書への署名に使用しないでください。

## 修正方法
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

処理方法については、セキュリティのベストプラクティスを参照してください。以下を行うことができます。

1. AWS IoT に新しい CA 証明書を登録します。

1. 新しい CA 証明書を使用して、デバイス証明書に署名できることを確認します。

1. [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) を使用して、AWS IoT で古い CA 証明書を INACTIVE としてマークします。緩和アクションを使用して、次の操作を行うこともできます。
   + 監査結果に `UPDATE_CA_CERTIFICATE` 緩和アクションを適用して、この変更を行います。
   + Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、`PUBLISH_FINDINGS_TO_SNS` 緩和アクションを適用します。

   詳細については、「[緩和アクション](dd-mitigation-actions.md)」を参照してください。