已吊销中间 CA 以进行活动设备证书检查
使用此检查来识别尽管撤消了中间 CA,但仍处于活动状态的所有相关设备证书。
此检查在 CLI 和 API 中显示为 INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK
。
严重性:危急
详细信息
此检查发现不合规问题时,会返回以下原因代码:
-
INTERMEDIATE_CA_REVOKED_BY_ISSUER
为什么这非常重要
已吊销中间 CA 以进行活动设备证书检查通过确定 CA 链中已吊销中间颁发 CA 的 AWS IoT Core 中是否存在活动设备证书来评估设备身份和信任度。
不应再使用已吊销的中间 CA 来签署 CA 链中的任何其他 CA 或设备证书。在吊销中间 CA 后,具有使用此 CA 证书签名的证书的新添加设备将构成安全威胁。
如何修复
查看 CA 证书被吊销后一段时间的设备证书注册活动。按照您的安全最佳做法来缓解这种情况。您可能需要:
-
为受影响的设备配置由其他 CA 签名的新证书。
-
验证新证书是否有效,以及设备能否使用新证书进行连接。
-
使用 UpdateCertificate 在 AWS IoT 中将旧证书标记为“REVOKED”。您还可以使用缓解操作实现以下目的:
-
对您的审计查找结果应用
UPDATE_DEVICE_CERTIFICATE
缓解操作以进行此更改。 -
应用
ADD_THINGS_TO_THING_GROUP
缓解操作,以将设备添加到可以对其执行操作的组。 -
如果要实现自定义响应以响应 Amazon SNS 消息,请应用
PUBLISH_FINDINGS_TO_SNS
缓解操作。 对吊销中间 CA 证书后的设备证书注册活动进行审核,并考虑吊销在此期间可能使用它颁发的任何设备证书。可以使用 ListRelatedResourcesForAuditFinding 列出通过该 CA 证书签发的设备证书,并使用 UpdateCertificate 吊销设备证书。
-
将旧证书从设备分离。(请参阅 DetachThingPrincipal。)
有关更多信息,请参阅 缓解操作。
-