步驟一：創建一個新的ClientKey

1. 登錄密鑰管理服務控制臺，在頂部菜單欄選擇地域后，在左側導航欄單擊應用接入 > 接入點。

2. 單擊應用接入頁簽，通過實例ID或者應用接入點名稱篩選，定位到目標應用接入點。

3. 單擊應用接入點名稱，在詳情頁面單擊身份憑證頁簽后，單擊創建憑證。

4. 在創建憑證對話框設置Client Key加密口令和有效期。

   • Client Key加密口令：8~64位，支持數字、英文大小寫、特殊字符~!@#$%^&*?_-。

   • 有效期：默認為5年，建議您設置為1年，以降低ClientKey被泄露的風險。

5. 單擊確定，瀏覽器會自動下載ClientKey。

   ClientKey包含應用身份憑證內容（ClientKeyContent）和憑證口令（ClientKeyPassword）。 應用身份憑證內容（ClientKeyContent）文件名默認為clientKey_****.json。憑證口令（ClientKeyPassword）文件名默認為clientKey_****_Password.txt。

步驟二：更換自建應用中的ClientKey

以KMS實例SDK for Java為例，初始化Client實例時，你需要將clientKeyPass替換為新的憑證口令，clientKeyFilePath或clientKey替換為新的應用身份憑證內容。

步驟三：觀察舊ClientKey是否仍有調用

您可以通過觀察舊ClientKey是否仍有調用，判斷ClientKey是否已經全部更換。確認沒有調用后，對于不使用的ClientKey請及時刪除。

1. 獲取舊ClientKey的Key ID。

2. 在左側導航欄單擊安全運營 > 日志服務，選擇您的實例ID。

3. 在搜索框中輸入ClientKey的Key ID，查詢舊ClientKey是否仍有調用。

   如果仍有調用，說明ClientKey未更換完全，您可以根據client_ip、useragent等字段的信息追溯是哪些應用未替換。

步驟四：刪除舊ClientKey

1. 定位到舊ClientKey，單擊操作列的刪除。

2. 在彈出的刪除Client Key對話框中確認無誤后，單擊確定。

3. 完成安全驗證后，KMS會刪除該ClientKey。