本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 輪換 IAM Identity Center 憑證
<a name="rotatecert"></a>

輪換 IAM Identity Center 憑證是一個包含下列項目的多步驟程序：
+ 產生新憑證
+ 將新憑證新增至服務供應商的網站
+ 將新憑證設定為作用中
+ 刪除非作用中憑證

依照下列順序使用下列所有程序，以完成指定應用程式的憑證輪換程序。

## 步驟 1：產生新的憑證
<a name="generate-new-certificate"></a>

您產生的新 IAM Identity Center 憑證可以設定為使用下列屬性：
+ **有效期間** – 指定新 IAM Identity Center 憑證過期之前分配的時間 （以月為單位）。
+ **金鑰大小** – 決定金鑰必須搭配其密碼編譯演算法使用的位元數。您可以將此值設定為 1024 位元 RSA 或 2048 位元 RSA。如需金鑰大小如何在密碼編譯中運作的一般資訊，請參閱[金鑰大小](https://en.wikipedia.org/wiki/Key_size)。
+ **演算法** – 指定 IAM Identity Center 在簽署 SAML 聲明/回應時所使用的演算法。您可以盡可能使用 SHA-256 將此值設定為 SHA-1 或 SHA-256. AWS recommends，除非您的服務供應商需要 SHA-1。 SHA-256 如需密碼編譯演算法運作方式的一般資訊，請參閱[公有金鑰密碼編譯](https://en.wikipedia.org/wiki/Public-key_cryptography)。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇 **Applications (應用程式)**。

1. 在應用程式清單中，選擇要產生新憑證的應用程式。

1. 在應用程式詳細資訊頁面上，選擇**組態**索引標籤。在 **IAM Identity Center 中繼資料**下，選擇**管理憑證**。 如果您沒有**組態**索引標籤或組態設定不可用，則不需要輪換此應用程式的憑證。

1. 在 **IAM Identity Center 憑證**頁面上，選擇**產生新憑證**。

1. 在**產生新的 IAM Identity Center 憑證**對話方塊中，指定**有效期間**、**演算法**和**金鑰大小**的適當值。然後選擇**產生**。

## 步驟 2：更新服務供應商的網站
<a name="update-service-provider-website"></a>

使用下列程序來重新建立與應用程式服務提供者的信任。

**重要**  
當您將新憑證上傳到服務提供者時，您的使用者可能無法進行身分驗證。若要修正這種情況，請將新憑證設定為作用中，如下一個步驟所述。

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇您剛產生新憑證的應用程式。

1. 在應用程式詳細資訊頁面上，選擇**編輯組態**。

1. 選擇**檢視指示**，然後依照特定應用程式服務供應商網站的指示新增新產生的憑證。

## 步驟 3：將新憑證設定為作用中
<a name="set-cert-active"></a>

應用程式最多可以指派兩個憑證給它。IAM Identity Center 將使用設定為作用中的憑證來簽署所有 SAML 聲明。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇 **Applications (應用程式)**。

1. 在應用程式清單中，選擇您的應用程式。

1. 在應用程式詳細資訊頁面上，選擇**組態**索引標籤。在 **IAM Identity Center 中繼資料**下，選擇**管理憑證**。

1. 在 **IAM Identity Center 憑證**頁面上，選取您要設為作用中的憑證，選擇**動作**，然後選擇**設為作用中**。

1. 在**將選取的憑證設定為作用中**對話方塊中，確認您了解將憑證設定為作用中可能需要您重新建立信任，然後選擇**設為作用中**。

## 步驟 4：刪除舊憑證
<a name="delete-old-cert"></a>

使用下列程序來完成應用程式的憑證輪換程序。您只能刪除處於**非作用中**狀態的憑證。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇 **Applications (應用程式)**。

1. 在應用程式清單中，選擇您的應用程式。

1. 在應用程式詳細資訊頁面上，選取**組態**索引標籤。在 **IAM Identity Center 中繼資料**下，選擇**管理憑證**。

1. 在 **IAM Identity Center 憑證**頁面上，選取您要刪除的憑證。選擇 **Actions (動作)**，然後選擇 **Delete (刪除 VPC)**。

1. 在**刪除憑證**對話方塊中，選擇**刪除**。