# 裝置憑證即將到期
<a name="audit-chk-device-cert-approaching-expiration"></a>

裝置憑證將在設定的閾值期間內過期或已過期。憑證過期檢查閾值可以設定為最少 30 天到最多 3652 天 (10 年) 之間，預設值為 30 天。

此檢查會以 `DEVICE_CERTIFICATE_EXPIRING_CHECK` 出現在 CLI 和 API 中。

嚴重性：**中**

## 詳細資訊
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

此檢查適用於 ACTIVE 或 PENDING\$1TRANSFER 的裝置憑證。

當此檢查發現不合規的裝置憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\$1APPROACHING\$1EXPIRATION
+ CERTIFICATE\$1PAST\$1EXPIRATION

## 為什麼它很重要
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

不應使用過期後的裝置憑證。

## 設定裝置憑證過期檢查
<a name="w2aab9c11c43c13"></a>

此組態可讓您監控您裝置機群內即將過期的憑證並收到提醒。例如，如果您想要在憑證將於 30 天內過期時收到通知，您可以依照下述方式設定檢查：

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## 如何修正它
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

請諮詢您的安全性最佳實務以了解如何進行。您可能想要：

1. 佈建新的憑證並將憑證與裝置連接。

1. 確認新憑證為有效且裝置可用來連線。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)，在 AWS IoT 中將舊憑證標示為 INACTIVE。您也可以使用緩解行動：
   + 套用 `UPDATE_DEVICE_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `ADD_THINGS_TO_THING_GROUP` 緩解行動來新增裝置到您可以採取行動的群組。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 從裝置分離舊憑證。(請參閱 [ DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)。)