# 共用的裝置憑證
<a name="audit-chk-device-cert-shared"></a>

多個同時發生的連線使用相同的 X.509 憑證來向 AWS IoT 驗證。

此檢查會以 `DEVICE_CERTIFICATE_SHARED_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-device-cert-shared-details"></a>

當執行一部分的隨需稽核時，此檢查將會查看稽核直到檢查執行前 2 小時開始之前 31 天內裝置使用的連接憑證和用戶端 ID。關於排程稽核，此檢查會查看從上次稽核執行前 2 小時到此稽核執行個體啟動前 2 小時的資料。如果於檢查的期間已採取措施以減少此種情況，請注意何時並行連線以確定是否仍有問題。

當此檢查發現不合規的憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\$1SHARED\$1BY\$1MULTIPLE\$1DEVICES

此外，此檢查傳回的結果包含共享憑證的 ID、用戶端使用憑證的連線 ID 和連接/中斷時間。最近的結果最先列出。

## 為什麼它很重要
<a name="audit-chk-device-cert-shared-why-it-matters"></a>

每個裝置應有唯一的憑證以供 AWS IoT 進行驗證。當多個裝置使用相同憑證時，這可能表示裝置已遭入侵。其身分可能遭到複製而進一步危害系統。

## 如何修正它
<a name="audit-chk-device-cert-shared-how-to-fix"></a>

確認裝置憑證未遭洩漏。若已遭洩漏，依照您的安全性最佳實務來減緩情況。

如果您在多個裝置上使用相同的憑證，您可能需要：

1. 佈建新的、唯一的憑證，並將它們連接到每個裝置。

1. 確認新憑證有效且裝置可使用這些憑證進行連線。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)，在 AWS IoT 中將舊憑證標示為 REVOKED。您也可以使用緩解動作來執行下列動作：
   + 套用 `UPDATE_DEVICE_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `ADD_THINGS_TO_THING_GROUP` 緩解行動來新增裝置到您可以採取行動的群組。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 從每個裝置分離舊憑證。