# 作用中裝置憑證的中繼 CA 撤銷後檢查
<a name="audit-chk-active-intermediary-device-revoked-CA"></a>

使用此檢查以識別所有即使在撤銷中繼 CA 後仍在作用中的相關裝置憑證。

此檢查會以 `INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-active-device-intermediary-revoked-CA-details"></a>

當此檢查發現不合規時，將會傳回下列原因代碼：
+ INTERMEDIATE\_CA\_REVOKED\_BY\_ISSUER

## 為什麼它很重要
<a name="audit-chk-active-device-intermediary-revoked-CA-why-it-matters"></a>

作用中裝置憑證的中繼 CA 撤銷後檢查會評估裝置的識別和信任狀態，方法是判定 AWS IoT Core 內是否有作用中裝置憑證的中繼核發 CA 已在 CA 鏈中遭到撤銷

已撤銷的中繼 CA 不應再用來簽署 CA 鏈中的任何 CA 或裝置憑證。在中繼 CA 撤銷之後，如果新增的裝置內含使用此 CA 憑證簽署的憑證，可能會造成安全威脅。

## 如何修正它
<a name="audit-chk-active-device-intermediary-revoked-CA-how-to-fix"></a>

請檢閱 CA 憑證撤銷後的裝置憑證註冊活動。依照您的安全性最佳實務來減緩情況。您可能想要：

1. 為受影響的裝置佈建由不同 CA 簽署的新憑證。

1. 確認新憑證有效且裝置可使用這些憑證進行連線。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)，在 AWS IoT 中將舊憑證標示為 REVOKED。您也可以使用緩解行動：
   + 套用 `UPDATE_DEVICE_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `ADD_THINGS_TO_THING_GROUP` 緩解行動來新增裝置到您可以採取行動的群組。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。
   + 檢閱中繼 CA 憑證遭撤回後的裝置憑證註冊活動，並考慮撤回任何可能在此時間內使用該憑證發行的裝置憑證。您可以使用 [ListRelatedResourcesForAuditFinding](https://docs.aws.amazon.com/iot/latest/apireference/API_ListRelatedResourcesForAuditFinding.html) 列出由 CA 簽署的裝置憑證，以及使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 撤銷裝置憑證。
   + 從裝置分離舊憑證。(請參閱 [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)。)

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。