# デバイス証明書の有効期限が切れます
<a name="audit-chk-device-cert-approaching-expiration"></a>

デバイス証明書が設定されたしきい値期間内に期限切れになるか、または既に期限切れになっています。証明書の有効期限チェックのしきい値は、デフォルト値 30 日で、30 日 (最小) から 3,652 日 (最大 10 年) の間で設定できます。

このチェックは、CLI および API で `DEVICE_CERTIFICATE_EXPIRING_CHECK` として表示されます。

**重大度:** 中

## Details
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

このチェック項目は、「ACTIVE」または「PENDING\$1TRANSFER」になっているデバイス証明書に適用されます。

このチェックにより不適合のデバイス証明書が見つかった場合、次の理由コードが返されます。
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## 重要な理由
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

デバイス証明書は、有効期限が切れたら使用しないでください。

## デバイス証明書の有効期限チェックの設定
<a name="w2aab9c11c43c13"></a>

この設定により、デバイスフリート全体で有効期限が近づいている証明書をモニタリングし、アラートを受信できます。例えば、証明書の有効期限が 30 日以内になった際に通知を受け取る場合は、次のようにチェックを設定できます。

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## 修正方法
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

処理方法については、セキュリティのベストプラクティスを参照してください。以下を行うことができます。

1. 新しい証明書をプロビジョニングし、デバイスにアタッチします。

1. 新しい証明書が有効で、デバイスが接続するためにその証明書を使用できることを確認します。

1. [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) を使用して、AWS IoT で古い証明書を INACTIVE としてマークします。緩和アクションを使用して、以下を行うこともできます。
   + 監査結果に `UPDATE_DEVICE_CERTIFICATE` 緩和アクションを適用して、この変更を行います。
   + `ADD_THINGS_TO_THING_GROUP` 緩和アクションを適用して、アクションを実行できるグループにデバイスを追加します。
   + Amazon SNS メッセージに対する応答としてカスタムレスポンスを実装する場合は、`PUBLISH_FINDINGS_TO_SNS` 緩和アクションを適用します。

   詳細については、「[緩和アクション](dd-mitigation-actions.md)」を参照してください。

1. 古い証明書をデバイスからデタッチします。(「[DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)」を参照してください)。