# CA 证书即将过期
<a name="audit-chk-ca-cert-approaching-expiration"></a>

CA 证书将在 30 天内过期或已经过期。

此检查在 CLI 和 API 中显示为 `CA_CERTIFICATE_EXPIRING_CHECK`。

**严重性：**中

## Details
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

此检查适用于状态为“ACTIVE”或“PENDING\_TRANSFER”的 CA 证书。

此检查发现不合规的 CA 证书时，会返回以下原因代码：
+ CERTIFICATE\_APPROACHING\_EXPIRATION
+ CERTIFICATE\_PAST\_EXPIRATION

## 为什么这非常重要
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

已过期的 CA 证书不应被用于签发新设备证书。

## 如何修复
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

有关如何继续，请参阅安全最佳实践。您可能需要：

1. 向 AWS IoT 注册新的 CA 证书。

1. 验证能否使用新的 CA 证书签发设备证书。

1. 使用 [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) 在 AWS IoT 中将旧的 CA 证书标记为“INACTIVE”。您还可以使用缓解操作实现以下目的：
   + 对您的审计查找结果应用 `UPDATE_CA_CERTIFICATE` 缓解操作以进行此更改。
   + 如果要实现自定义响应以响应 Amazon SNS 消息，请应用 `PUBLISH_FINDINGS_TO_SNS` 缓解操作。

   有关更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。