# 已吊销的 CA 证书仍处于活动状态
<a name="audit-chk-revoked-ca-cert"></a>

CA 证书已被吊销，但在 AWS IoT 中仍处于活动状态。

此检查在 CLI 和 API 中显示为 `REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK`。

**严重性：**严重

## Details
<a name="audit-chk-revoked-ca-cert-details"></a>

CA 证书在发证机构所维护的证书吊销列表中标记为已吊销，但在 AWS IoT 中仍标记为“ACTIVE”或“PENDING\_TRANSFER”。

此检查发现不合规的 CA 证书时，会返回以下原因代码：
+ CERTIFICATE\_REVOKED\_BY\_ISSUER

## 为什么这非常重要
<a name="audit-chk-revoked-ca-cert-why-it-matters"></a>

已吊销的 CA 证书不应再用于签发设备证书。证书可能因遭破坏而被吊销。如果新添加的设备具有使用此 CA 证书签发的证书，可能会造成安全威胁。

## 如何修复
<a name="audit-chk-revoked-ca-cert-how-to-fix"></a>

1. 使用 [UpdateCACertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCACertificate.html) 在 AWS IoT 中将该 CA 证书标记为“INACTIVE”。您还可以使用缓解操作实现以下目的：
   + 对您的审计查找结果应用 `UPDATE_CA_CERTIFICATE` 缓解操作以进行此更改。
   + 应用 `PUBLISH_FINDINGS_TO_SNS` 缓解操作，以实施自定义响应来响应 Amazon SNS 消息。

   有关更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。

1. 对吊销 CA 证书后的设备证书注册活动进行审核，并考虑吊销在此期间可能使用它颁发的任何设备证书。可以使用 [ListCertificatesByCA](https://docs.aws.amazon.com/iot/latest/apireference/API_ListCertificatesByCA.html) 列出通过该 CA 证书签发的设备证书，并使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 吊销设备证书。