# 취소된 디바이스 인증서가 계속 활성 상태
<a name="audit-chk-revoked-device-cert"></a>

취소된 디바이스 인증서가 계속 활성 상태입니다.

이 점검은 CLI 및 API에서 `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK`와(과) 같이 나타납니다.

**심각도:** 중간

## 세부 사항
<a name="audit-chk-revoked-device-cert-details"></a>

디바이스 인증서가 해당 CA의 [인증서 해지 목록](https://en.wikipedia.org/wiki/Certificate_revocation_list)에 있지만, AWS IoT에서 여전히 활성 상태입니다.

이 점검은 ACTIVE 또는 PENDING\_TRANSFER 상태인 디바이스 인증서에 적용됩니다.

이 점검에서 규정 미준수가 발견된 경우 다음 사유 코드가 반환됩니다.
+ CERTIFICATE\_REVOKED\_BY\_ISSUER

## 이것이 중요한 이유
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

일반적으로 손상되었으므로 디바이스 인증서가 취소됩니다. 오류 또는 실수로 인해 AWS IoT에서 아직 취소되지 않을 수 있습니다.

## 수정 방법
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

디바이스 인증서가 손상되지 않았는지 확인합니다. 손상되었다면 보안 모범 사례를 따라 상황을 완화시킵니다. 수행 가능한 작업은 다음과 같습니다.

1. 디바이스에 새 인증서를 프로비저닝합니다.

1. 새 인증서가 유효하고 디바이스가 이 인증서를 사용하여 연결할 수 있는지 확인합니다.

1. [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)을 사용하여 이전 인증서를 AWS IoT에서 취소됨(REVOKED)으로 표시합니다. 완화 작업을 사용하면 다음을 수행할 수 있습니다.
   + 이 변경사항을 실행하려면 감사 결과에서 `UPDATE_DEVICE_CERTIFICATE` 완화 작업을 적용합니다.
   + 조치를 취할 수 있는 그룹에 디바이스를 추가하려면 `ADD_THINGS_TO_THING_GROUP` 완화 조치를 적용합니다.
   + Amazon SNS 메시지에 대해 사용자 지정 응답을 구현하려면 `PUBLISH_FINDINGS_TO_SNS` 완화 작업을 적용합니다.

   자세한 내용은 [완화 작업](dd-mitigation-actions.md) 단원을 참조하세요.

1. 기존 인증서를 디바이스에서 분리합니다. ([DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html) 참조)