本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理基于证书的身份验证
<a name="certificate-based-authentication-manage"></a>

启用基于证书的身份验证后，请查看以下任务。

## 私有 CA 证书
<a name="certificate-based-authentication-manage-CA"></a>

在典型配置中，私有 CA 证书的有效期为 10 年。有关更换证书过期的私有 CA 或重新颁发具有新有效期的私有 CA 的更多信息，请参阅[管理私有 CA 生命周期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html) 

## 最终用户证书
<a name="certificate-based-authentication-manage-certs"></a>

由 for P WorkSpaces ools 基于证书 AWS 私有证书颁发机构 的身份验证颁发的最终用户证书不需要续订或撤销。这些证书是短暂的。 WorkSpaces Pools 会为每个新会话自动颁发新证书，对于持续时间较长的会话，则每 24 小时自动颁发一次新证书。P WorkSpaces ools 会话控制这些最终用户证书的使用。如果您结束会话，P WorkSpaces ools 将停止使用该证书。这些最终用户证书的有效期比典型的 AWS 私有证书颁发机构 CRL 发行版短。因此，无需吊销最终用户证书，这些证书也不会出现在 CRL 中。

## 审核报告
<a name="certificate-based-authentication-manage-audit"></a>

您可以创建审核报告，以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息，请参阅[将审核报告与私有 CA 结合使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。

## 日志记录和监控
<a name="certificate-based-authentication-manage-logging"></a>

您可以使用按 WorkSpaces 池记录 CloudTrail 对私有 CA 的 API 调用。有关更多信息，请参阅[什么是 AWS CloudTrail？](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 在《*AWS CloudTrail 用户指南》*中， CloudTrail在《*AWS 私有证书颁发机构 用户指南*》中[使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在 CloudTrail 活动历史记录中，您可以查看由池用户名**GetCertificate**创建**IssueCertificate**的 **acm-pca.amazonaws.com** 事件源中的事件名称。 WorkSpaces **EcmAssumeRoleSession**每个基于 P WorkSpaces ools 证书的身份验证请求都将记录这些事件。有关更多信息，请参阅《*AWS CloudTrail 用户指南》*中的[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。