# 已吊销中间 CA 以进行活动设备证书检查
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

使用此检查来识别尽管撤消了中间 CA，但仍处于活动状态的所有相关设备证书。

此检查在 CLI 和 API 中显示为 `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK`。

**严重性：**严重

## Details
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

此检查发现不合规问题时，会返回以下原因代码：
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER

## 为什么这非常重要
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

已吊销中间 CA 以进行活动设备证书检查通过确定 CA 链中已吊销中间颁发 CA 的 AWS IoT Core 中是否存在活动设备证书来评估设备身份和信任度。

不应再使用已吊销的中间 CA 来签署 CA 链中的任何其他 CA 或设备证书。在吊销中间 CA 后，具有使用此 CA 证书签名的证书的新添加设备将构成安全威胁。

## 如何修复
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

查看 CA 证书被吊销后一段时间的设备证书注册活动。按照您的安全最佳做法来缓解这种情况。您可能需要：

1. 为受影响的设备配置由其他 CA 签名的新证书。

1. 验证新证书是否有效，以及设备能否使用新证书进行连接。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 在 AWS IoT 中将旧证书标记为“REVOKED”。您还可以使用缓解操作实现以下目的：
   + 对您的审计查找结果应用 `UPDATE_DEVICE_CERTIFICATE` 缓解操作以进行此更改。
   + 应用 `ADD_THINGS_TO_THING_GROUP` 缓解操作，以将设备添加到可以对其执行操作的组。
   + 如果要实现自定义响应以响应 Amazon SNS 消息，请应用 `PUBLISH_FINDINGS_TO_SNS` 缓解操作。
   + 对吊销中间 CA 证书后的设备证书注册活动进行审核，并考虑吊销在此期间可能使用它颁发的任何设备证书。可以使用 [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) 列出通过该 CA 证书签发的设备证书，并使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 吊销设备证书。
   + 将旧证书从设备分离。（请参阅 [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)。）

   有关更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。