本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 轮换 SAML 2.0 证书
<a name="rotatesamlcert"></a>

您可能需要定期导入证书，以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。

您还应该考虑有些证书 IdPs 可能不支持多个证书。在这种情况下，使用这些证书轮换证书的行为 IdPs 可能意味着您的用户服务会暂时中断。当成功重新建立与该 IdP 的信任时，服务就会恢复。如果可能的话，请在非高峰时段仔细计划此操作。

**注意**  
作为安全最佳实践，一旦现有 SAML 证书出现任何泄露或处理不当的迹象，您应立即删除并轮换该证书。

轮换 IAM Identity Center 证书是一个多步骤过程，涉及以下内容：
+ 从 IdP 获取新证书
+ 将新证书导入 IAM Identity Center
+ 在 IdP 中激活新证书
+ 删除旧证书

使用以下所有过程来完成证书轮换过程，同时避免任何身份验证停机。

**步骤 1：从 IdP 获取新证书**

访问 IdP 网站并下载其 SAML 2.0 证书。确保以 PEM 编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。

**步骤 2：将新证书导入 IAM Identity Center**

按照以下过程使用 IAM Identity Center 控制台导入新证书。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>管理身份验证**。

1. 在**管理 SAML 2.0 证书**页面上，选择**导入证书**。

1. 在**导入 SAML 2.0 证书**对话框中，选择**选择文件**，导航到您的证书文件并将其选中，然后选择**导入证书**。

此时，IAM Identity Center 将信任从您导入的两个证书签名的所有传入 SAML 消息。

**步骤 3：在 IdP 中激活新证书**

返回 IdP 网站，将您之前创建的新证书标记为主证书或有效证书。此时，由 IdP 签名的所有 SAML 消息都应使用新证书。

**步骤 4：删除旧证书**

使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书，并且无法将其删除。

**注意**  
在删除该证书之前，请确保您的身份提供商不再使用此证书对 SAML 响应进行签名。

1. 在**管理 SAML 2.0 证书**页面上，选择要删除的证书。选择**删除**。

1. 在**删除 SAML 2.0 证书**对话框中，键入 **DELETE** 进行确认，然后选择**删除**。

1. 返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。