# 디바이스 인증서 만료
<a name="audit-chk-device-cert-approaching-expiration"></a>

디바이스 인증서가 구성된 기준값 기간 내에 만료되거나 이미 만료되었습니다. 인증서 만료 검사 기준값은 30일(최소)에서 3,652일(10년(최대)) 사이로 구성할 수 있으며 기본값은 30일입니다.

이 점검은 CLI 및 API에서 `DEVICE_CERTIFICATE_EXPIRING_CHECK`와(과) 같이 나타납니다.

**심각도:** 중간

## 세부 사항
<a name="audit-chk-device-cert-approaching-expiration-details"></a>

이 점검은 ACTIVE 또는 PENDING\_TRANSFER 상태인 디바이스 인증서에 적용됩니다.

이 점검에서 규정 미준수 디바이스 인증서가 발견된 경우 다음 사유 코드가 반환됩니다.
+ CERTIFICATE\_APPROACHING\_EXPIRATION
+ CERTIFICATE\_PAST\_EXPIRATION

## 이것이 중요한 이유
<a name="audit-chk-device-cert-approaching-expiration-why-it-matters"></a>

만료된 후에는 디바이스 인증서를 사용해서는 안 됩니다.

## 디바이스 인증서 만료 검사 구성
<a name="w2aab9c11c43c13"></a>

이 구성을 사용하면 디바이스 플릿 전반에서 만료 날짜가 다가오는 인증서에 대한 알림을 모니터링하고 수신할 수 있습니다. 예를 들어 인증서 만료 후 30일 이내에 알림을 받으려면 다음과 같이 검사를 구성할 수 있습니다.

```
{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_EXPIRING_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_EXPIRATION_THRESHOLD_IN_DAYS": "30"
            }
        }
    }
}
```

## 수정 방법
<a name="audit-chk-device-cert-approaching-expiration-how-to-fix"></a>

방법은 보안 모범 사례를 참조하세요. 수행 가능한 작업은 다음과 같습니다.

1. 새 인증서를 프로비저닝하고 디바이스에 연결합니다.

1. 새 인증서가 유효하고 디바이스가 이 인증서를 사용하여 연결할 수 있는지 확인합니다.

1. [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)를 사용하여 이전 인증서를 AWS IoT에서 비활성(INACTIVE)으로 표시합니다. 완화 작업을 사용하면 다음을 수행할 수 있습니다.
   + 이 변경사항을 실행하려면 감사 결과에서 `UPDATE_DEVICE_CERTIFICATE` 완화 작업을 적용합니다.
   + 조치를 취할 수 있는 그룹에 디바이스를 추가하려면 `ADD_THINGS_TO_THING_GROUP` 완화 조치를 적용합니다.
   + Amazon SNS 메시지에 대해 사용자 지정 응답을 구현하려면 `PUBLISH_FINDINGS_TO_SNS` 완화 작업을 적용합니다.

   자세한 내용은 [완화 작업](dd-mitigation-actions.md) 단원을 참조하세요.

1. 기존 인증서를 디바이스에서 분리합니다. ([DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html) 참조)