停用 CA 证书 - AWS IoT
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

停用 CA 证书

为自动客户端证书注册启用了证书颁发机构 (CA) 证书时,AWS IoT 检查用于签署客户端证书的 CA 证书以确保 CA 状态为 ACTIVE。如果 CA 证书状态为 INACTIVE,AWS IoT 不允许注册客户端证书。

通过将 CA 证书设置为 INACTIVE,可防止该 CA 颁发的任何新客户端证书自动注册。

注意

除非您明确吊销由受损的 CA 证书签发的每个已注册客户端证书,否则所有此类证书均将继续工作。

停用 CA 证书(控制台)

使用 AWS IoT 控制台停用 CA 证书

  1. 登录到 AWS 管理控制台,然后打开 AWS IoT 控制台

  2. 在左侧的导航窗格中,依次选择安全CA

  3. 在证书颁发机构列表中,找到要停用的证书颁发机构,然后使用省略号图标打开选项菜单。

  4. 在选项菜单上,选择停用

证书颁发机构应在列表中显示为停用

注意

AWS IoT 控制台没有提供方法来列出由您停用的 CA 签发的证书。有关列出这些证书的 AWS CLI 选项,请参阅停用 CA 证书 (CLI)

停用 CA 证书 (CLI)

AWS CLI 提供 update-ca-certificate 命令用于停用 CA 证书。

aws iot update-ca-certificate \ --certificate-id certificateId \ --new-status INACTIVE

使用 list-certificates-by-ca 命令获取已由指定 CA 签名的所有已注册客户端证书的列表。对于由指定 CA 证书签名的每个客户端证书,请使用 update-certificate 命令吊销该客户端证书以避免使用它。

使用 describe-ca-certificate 命令查看 CA 证书的状态。