本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 輪換 SAML 2.0 憑證
<a name="rotatesamlcert"></a>

您可能需要定期匯入憑證，才能輪換身分提供者發行的無效或過期憑證。這有助於防止身分驗證中斷或停機。所有匯入的憑證都會自動啟用。只有在確保憑證不再與相關聯的身分提供者搭配使用之後，才應該刪除憑證。

您也應該考慮某些 IdPs可能不支援多個憑證。在這種情況下，使用這些 IdPs 輪換憑證的行為可能意味著使用者暫時的服務中斷。成功重新建立與該 IdP 的信任時，會還原服務。如果可能，請在尖峰時段仔細規劃此操作。

**注意**  
作為安全最佳實務，在現有 SAML 憑證發生任何入侵或處理不當的跡象時，您應該立即移除並輪換憑證。

輪換 IAM Identity Center 憑證是一個包含下列項目的多步驟程序：
+ 從 IdP 取得新憑證
+ 將新憑證匯入 IAM Identity Center
+ 在 IdP 中啟用新憑證
+ 刪除較舊的憑證

使用下列所有程序來完成憑證輪換程序，同時避免任何身分驗證停機時間。

**步驟 1：從 IdP 取得新憑證**

前往 IdP 網站並下載其 SAML 2.0 憑證。請確定已下載 PEM 編碼格式的憑證檔案。大多數提供者允許您在 IdP 中建立多個 SAML 2.0 憑證。這些項目可能會標示為已停用或非作用中。

**步驟 2：將新憑證匯入 IAM Identity Center**

使用下列程序，使用 IAM Identity Center 主控台匯入新憑證。

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理身分驗證**。

1. 在**管理 SAML 2.0 憑證**頁面上，選擇**匯入憑證**。

1. 在**匯入 SAML 2.0 憑證**對話方塊中，選擇**選擇檔案**，導覽至您的憑證檔案並加以選取，然後選擇**匯入憑證**。

此時，IAM Identity Center 會信任從您匯入的兩個憑證簽署的所有傳入 SAML 訊息。

**步驟 3：在 IdP 中啟用新憑證**

返回 IdP 網站，並將您先前建立的新憑證標記為主要憑證或作用中憑證。此時，IdP 簽署的所有 SAML 訊息都應使用新的憑證。

**步驟 4：刪除舊憑證**

使用下列程序來完成 IdP 的憑證輪換程序。至少必須列出一個有效的憑證，而且無法移除。

**注意**  
刪除之前，請確定您的身分提供者不再使用此憑證簽署 SAML 回應。

1. 在**管理 SAML 2.0 憑證**頁面上，選擇您要刪除的憑證。選擇 **刪除**。

1. 在**刪除 SAML 2.0 憑證**對話方塊中，輸入 **DELETE** 進行確認，然後選擇**刪除**。

1. 返回 IdP 的網站並執行必要的步驟，以移除較舊的非作用中憑證。