本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理基于证书的身份验证
启用基于证书的身份验证后,请查看以下任务。
**Topics**
+ [私有 CA 证书](certificate-based-authentication-manage-CA.md)
+ [最终用户证书](certificate-based-authentication-manage-certs.md)
+ [审核报告](certificate-based-authentication-manage-audit.md)
+ [日志记录和监控](certificate-based-authentication-manage-logging.md)
# 私有 CA 证书
在典型配置中,私有 CA 证书的有效期为 10 年。有关更换证书过期的私有 CA 或重新颁发具有新有效期的私有 CA 的更多信息,请参阅[管理私有 CA 生命周期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)
# 最终用户证书
P AWS rivate CA 为 WorkSpaces 应用程序颁发的最终用户证书基于证书的身份验证不需要续订或撤销。这些证书是短暂的。 WorkSpaces 应用程序会为每个新会话自动颁发新证书,对于持续时间较长的会话,则每 24 小时自动颁发一次新证书。 WorkSpaces 应用程序会话控制这些最终用户证书的使用。如果您结束会话, WorkSpaces 应用程序将停止使用该证书。这些最终用户证书的有效期比典型的 AWS 私有 CA CRL 发行版短。因此,无需吊销最终用户证书,这些证书也不会出现在 CRL 中。
# 审核报告
您可以创建审核报告,以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息,请参阅[将审核报告与私有 CA 结合使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。
# 日志记录和监控
您可以使用记录 WorkSpaces 应用程序 CloudTrail 对私有 CA 的 API 调用。有关更多信息,请参阅[什么是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 和[使用 CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在 CloudTrail 事件历史记录中,您可以查看应用程序用户名**GetCertificate**创建**IssueCertificate**的 **acm-pca.amazonaws.com** 事件源中的事件名称。 WorkSpaces **EcmAssumeRoleSession**将为每个基于 WorkSpaces 应用程序证书的身份验证请求记录这些事件。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。