# 已撤销的设备证书仍处于激活状态
<a name="audit-chk-revoked-device-cert"></a>

已吊销的设备证书仍处于活动状态。

此检查在 CLI 和 API 中显示为 `REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK`。

**严重性：**中

## Details
<a name="audit-chk-revoked-device-cert-details"></a>

设备证书位于其 CA 的[证书吊销列表](https://en.wikipedia.org/wiki/Certificate_revocation_list)中，但它在 AWS IoT 中仍处于活动状态。

此检查适用于状态为“ACTIVE”或“PENDING\_TRANSFER”的设备证书。

此检查发现不合规问题时，会返回以下原因代码：
+ CERTIFICATE\_REVOKED\_BY\_ISSUER

## 为什么这非常重要
<a name="audit-chk-revoked-device-cert-why-it-matters"></a>

设备证书通常因为遭到破坏而被吊销。证书也可能因为错误或疏忽而尚未在 AWS IoT 中吊销。

## 如何修复
<a name="audit-chk-revoked-device-cert-how-to-fix"></a>

验证设备证书是否已遭破坏。如果已遭破坏，请遵照安全最佳实践来缓解此情况。您可能需要：

1. 为设备预置新证书。

1. 验证新证书是否有效以及设备能否使用它进行连接。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html) 在 AWS IoT 中将旧证书标记为“REVOKED”。您还可以使用缓解操作实现以下目的：
   + 对您的审计查找结果应用 `UPDATE_DEVICE_CERTIFICATE` 缓解操作以进行此更改。
   + 应用 `ADD_THINGS_TO_THING_GROUP` 缓解操作，以将设备添加到可以对其执行操作的组。
   + 如果要实现自定义响应以响应 Amazon SNS 消息，请应用 `PUBLISH_FINDINGS_TO_SNS` 缓解操作。

   有关更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。

1. 将旧证书从设备分离。（请参阅 [DetachThingPrincipal](https://docs.aws.amazon.com/iot/latest/apireference/API_DetachThingPrincipal.html)。）