# 憑證授權機構憑證即將到期
<a name="audit-chk-ca-cert-approaching-expiration"></a>

憑證授權機構憑證將於 30 天內到期或已到期。

此檢查會以 `CA_CERTIFICATE_EXPIRING_CHECK` 出現在 CLI 和 API 中。

嚴重性：**中**

## 詳細資訊
<a name="audit-chk-ca-cert-approaching-expiration-details"></a>

此檢查適用於 ACTIVE 或 PENDING\$1TRANSFER 的憑證授權機構憑證。

當此檢查發現不合規的憑證授權機構憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## 為什麼它很重要
<a name="audit-chk-ca-cert-approaching-expiration-why-it-matters"></a>

已到期的憑證授權機構憑證不應使用於簽署新的裝置憑證。

## 如何修正它
<a name="audit-chk-ca-cert-approaching-expiration-how-to-fix"></a>

請諮詢您的安全性最佳實務以了解如何進行。您可能想要：

1. 向 AWS IoT 註冊新的憑證授權機構憑證。

1. 確認您可以使用新憑證授權機構憑證來簽署裝置憑證。

1. 使用 [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html)，在 AWS IoT 中將舊憑證授權機構憑證標示為 INACTIVE。您也可以使用緩解動作來執行下列動作：
   + 套用 `UPDATE_CA_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。