Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

管理基于证书的身份验证

启用基于证书的身份验证后，请查看以下任务。

私有 CA 证书

在典型配置中，私有 CA 证书的有效期为 10 年。有关更换证书过期的私有 CA 或重新颁发具有新有效期的私有 CA 的更多信息，请参阅管理私有 CA 生命周期

最终用户证书

Amazon 私有证书颁发机构 为 WorkSpaces Pools 基于证书的身份验证颁发的最终用户证书不需要续订或吊销。这些证书的有效期较短。WorkSpaces Pools 会为每个新会话自动颁发新证书，或者对于持续时间较长的会话，每 24 小时自动颁发一次新证书。WorkSpaces Pools 会话控制这些最终用户证书的使用。如果您结束会话，WorkSpaces Pools 将停止使用该证书。这些最终用户证书的有效期比典型 Amazon 私有证书颁发机构 CRL 分发的有效期短。因此，无需吊销最终用户证书，这些证书也不会出现在 CRL 中。

审核报告

您可以创建审核报告，以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息，请参阅将审核报告与私有 CA 结合使用。

日志记录和监控

您可以使用 CloudTrail 来记录 WorkSpaces Pools 对私有 CA 的 API 调用。有关更多信息，请参阅《Amazon CloudTrail 用户指南》中的什么是 Amazon CloudTrail？，以及《Amazon 私有证书颁发机构 用户指南》中的使用 CloudTrail。在 CloudTrail 事件历史记录中，您可以查看由 WorkSpaces Pools EcmAssumeRoleSession 用户名创建的 acm-pca.amazonaws.com 事件源中的 GetCertificate 和 IssueCertificate 事件名称。将针对每个 WorkSpaces Pools 基于证书的身份验证请求记录这些事件。有关更多信息，请参阅《Amazon CloudTrail 用户指南》中的使用 CloudTrail 事件历史记录查看事件。