本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 轮换 SAML 2.0 证书
<a name="managesamlcerts"></a>

IAM Identity Center 使用证书在 IAM Identity Center 和您的外部身份提供商 (IdP) 之间建立 SAML 信任关系。当您在 IAM Identity Center 中添加外部 IdP 时，您还必须从外部 IdP 获取至少一个公共 SAML 2.0 X.509 证书。该证书通常在信任创建期间的 IdP SAML 元数据交换期间自动安装。

作为 IAM Identity Center 管理员，您有时需要将旧的 IdP 证书替换为新的 IdP 证书。例如，当证书到期日期临近时，您可能需要更换 IdP 证书。用新证书替换旧证书的过程称为证书轮换。

**Topics**
+ [

# 轮换 SAML 2.0 证书
](rotatesamlcert.md)
+ [

# 证书过期状态指示器
](samlcertexpirationindicators.md)

# 轮换 SAML 2.0 证书
<a name="rotatesamlcert"></a>

您可能需要定期导入证书，以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。

您还应该考虑有些证书 IdPs 可能不支持多个证书。在这种情况下，使用这些证书轮换证书的行为 IdPs 可能意味着您的用户服务会暂时中断。当成功重新建立与该 IdP 的信任时，服务就会恢复。如果可能的话，请在非高峰时段仔细计划此操作。

**注意**  
作为安全最佳实践，一旦现有 SAML 证书出现任何泄露或处理不当的迹象，您应立即删除并轮换该证书。

轮换 IAM Identity Center 证书是一个多步骤过程，涉及以下内容：
+ 从 IdP 获取新证书
+ 将新证书导入 IAM Identity Center
+ 在 IdP 中激活新证书
+ 删除旧证书

使用以下所有过程来完成证书轮换过程，同时避免任何身份验证停机。

**步骤 1：从 IdP 获取新证书**

访问 IdP 网站并下载其 SAML 2.0 证书。确保以 PEM 编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。

**步骤 2：将新证书导入 IAM Identity Center**

按照以下过程使用 IAM Identity Center 控制台导入新证书。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>管理身份验证**。

1. 在**管理 SAML 2.0 证书**页面上，选择**导入证书**。

1. 在**导入 SAML 2.0 证书**对话框中，选择**选择文件**，导航到您的证书文件并将其选中，然后选择**导入证书**。

此时，IAM Identity Center 将信任从您导入的两个证书签名的所有传入 SAML 消息。

**步骤 3：在 IdP 中激活新证书**

返回 IdP 网站，将您之前创建的新证书标记为主证书或有效证书。此时，由 IdP 签名的所有 SAML 消息都应使用新证书。

**步骤 4：删除旧证书**

使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书，并且无法将其删除。

**注意**  
在删除该证书之前，请确保您的身份提供商不再使用此证书对 SAML 响应进行签名。

1. 在**管理 SAML 2.0 证书**页面上，选择要删除的证书。选择**删除**。

1. 在**删除 SAML 2.0 证书**对话框中，键入 **DELETE** 进行确认，然后选择**删除**。

1. 返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。

# 证书过期状态指示器
<a name="samlcertexpirationindicators"></a>

**管理 SAML 2.0 证书**页面在列表中每个证书旁边的**到期时间**列中显示彩色状态指示器图标。下面介绍了 IAM Identity Center 用来确定每个证书显示哪个图标的标准。
+ **红色** – 表示证书已到期。
+ **黄色** – 表示证书将在 90 天或更短时间内到期。
+ **绿色** – 表示证书目前有效，并且将至少再保持 90 天的有效期。

**要检查证书的当前状态**

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>管理身份验证**。

1. 在**管理 SAML 2.0 身份验证**页面的**管理 SAML 2.0 证书**下，查看列表中证书的状态，如**过期时间**列中所示。