本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 轮换 IAM Identity Center 证书
<a name="rotatecert"></a>

轮换 IAM Identity Center 证书是一个多步骤过程，涉及以下内容：
+ 生成新证书
+ 将新证书添加到服务提供商的网站
+ 将新证书设置为活跃状态
+ 删除非活跃状态证书

按以下顺序使用以下所有过程来完成给定应用程序的证书轮换过程。

## 步骤 1：生成新证书
<a name="generate-new-certificate"></a>

可以将您生成的新 IAM Identity Center 证书配置为使用以下属性：
+ **有效期**——指定新 IAM Identity Center 证书到期之前分配的时间（以月为单位）。
+ **密钥大小**——确定密钥在加密算法中必须使用的位数。您可以将此值设置为 1024 位 RSA 或 2048 位 RSA。有关密码学中密钥大小的工作原理的一般信息，请参阅[密钥大小](https://en.wikipedia.org/wiki/Key_size)。
+ **算法**-指定 IAM Identity Center 在签署 SAML 断言/响应时使用的算法。您可以将此值设置为 SHA-1 或 SHA-256。 AWS 建议尽可能使用 SHA-256，除非您的服务提供商需要 SHA-1。有关密码算法工作原理的一般信息，请参阅[公钥](https://en.wikipedia.org/wiki/Public-key_cryptography)加密。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**应用程序**。

1. 在应用程序列表中，选择要为其生成新证书的应用程序。

1. 在应用程序详细信息页面上，选择**配置**选项卡。在 **IAM Identity Center 元数据**下，选择**管理证书**。 如果您没有 “**配置**” 选项卡或配置设置不可用，则无需轮换此应用程序的证书。

1. 在 **IAM Identity Center 证书**页面上，选择**生成新证书**。

1. 在**生成新的 IAM Identity Center 证书**对话框中，为**有效期**、**算法**和**密钥大小**指定相应的值。然后选择**生成**。

## 步骤 2：更新服务提供商的网站
<a name="update-service-provider-website"></a>

使用以下步骤重新建立与应用程序服务提供商的信任。

**重要**  
当您将新证书上传到服务提供商时，您的用户可能无法通过身份验证。要纠正这种情况，请按下一步所述将新证书设置为活跃状态。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择您刚刚为其生成新证书的应用程序。

1. 在应用程序详细信息页面上，选择**编辑配置**。

1. 选择**查看说明**，然后按照特定应用程序服务提供商网站的说明添加新生成的证书。

## 步骤 3：将新证书设置为活跃状态
<a name="set-cert-active"></a>

一个应用程序最多可以分配两个证书。IAM Identity Center 将使用设置为活动状态的证书签署所有 SAML 断言。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**应用程序**。

1. 在应用程序列表中，选择您的应用程序。

1. 在应用程序详细信息页面上，选择**配置**选项卡。在 **IAM Identity Center 元数据**下，选择**管理证书**。

1. 在 **IAM Identity Center 证书**页面上，选择要设置为活跃的证书，选择**操作**，然后选择**设置为活跃**。

1. 在**将所选证书设置为活跃状态**对话框中，确认您了解将证书设置为活动可能需要重新建立信任，然后选择**设为活跃**。

## 步骤 4：删除旧证书
<a name="delete-old-cert"></a>

使用以下过程完成应用程序的证书轮换流程。您只能删除处于**非活跃**状态的证书。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**应用程序**。

1. 在应用程序列表中，选择您的应用程序。

1. 在应用程序详细信息页面上，选择**配置**选项卡。在 **IAM Identity Center 元数据**下，选择**管理证书**。

1. 在 **IAM Identity Center 证书**页面上，选择要删除的证书。选择**操作**，然后选择**删除**。

1. 在**删除证书**对话框中，选择**删除**。