Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beheben Sie HTTP Fehler von Connector für SCEP
Wenn Ihr Client eine Connector for SCEP API Dataplane-Aktion auslöst und dies zu einem Fehler führt, SCEP sendet Connector für einen HTTP Antwortcode mit Informationen über den Fehler an den anfragenden Client.
Zusätzlich zu den Serviceantworten, die Ihren Kunden direkt zur Verfügung gestellt werden, können Sie die im Monitor-Anschluss für SCEP Abschnitt beschriebenen Überwachungstools verwenden, um Fehler, die zu einem Fehler führen, anzuzeigen und zu debuggen. HTTP
Im Folgenden finden Sie die vom Service an die SCEP Clients zurückgegebenen Fehlermeldungen, die möglichen Ursachen und die Schritte, die Sie zur Behebung der Probleme ergreifen können.
HTTP400 Schlechte Anfrage
Ein HTTP 400-Antwortcode bedeutet, dass Connector for die Anfrage aufgrund eines offensichtlichen Client-Fehlers, z. B. fehlender oder ungültiger Daten in der Anfrage, nicht verarbeiten SCEP kann. Wenn der Fehler auf einen SCEP -protokollspezifischen Fehler zurückzuführen ist, nimmt Connector for SCEP die SCEP Antwort als Binärdatei in die Nachricht auf. Connector für SCEP APIs kann aus einem der folgenden Gründe 400 Antworten zurückgeben.
| Antwort-Header (x-amzn-) ErrorType | Fehlermeldung (x-amzn-) ErrorMessage | Ursache | Abhilfe | Beinhaltet Antwort? SCEP |
|---|---|---|---|---|
|
LimitExceededException |
Das Ausstellungslimit der Zertifizierungsstelle wurde überschritten. |
Die dem Connector zugeordnete private Zertifizierungsstelle (CA) hat ihr Kontingent für die Anzahl der Zertifikate, die sie ausstellen kann, überschritten. |
Ein SCEP Connector kann während seiner gesamten Lebensdauer nur mit einer privaten Zertifizierungsstelle verbunden werden. Wenn Sie die Grenzen Ihrer privaten CA ausgeschöpft haben, erstellen Sie entweder einen neuen Connector oder beantragen Sie eine Erhöhung des Kontingents. Weitere Informationen zu Kontingenten für private Zertifizierungsstellen finden Sie unter AWS Private Certificate Authority Kontingente. |
Nein |
|
ValidationException |
Die Anfrage muss Base64 enthalten. |
Der Connector für SCEP kann die HTTP GET Anfrage nicht verarbeiten, da der Hauptteil kein gültiges Base64-Format hat. |
Wenn möglich, konfigurieren Sie Ihre Clients so, dass sie HTTP POST Nachrichten anstelle von HTTP GET Nachrichten verwenden. Wenn Sie verwenden müssen HTTPGET, müssen die Nachrichten das Base64-Format verwenden. Wenn Ihre Clients diese Anforderungen nicht erfüllen, wenden Sie sich an uns, AWS Support |
Nein |
|
ValidationException |
Die Zertifizierungsstelle ist nicht aktiv. |
Die dem Connector zugeordnete private CA ist inaktiv. |
Reaktivieren Sie die private CA. Weitere Informationen finden Sie unter Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority. |
Nein |
|
ValidationException |
Die Gültigkeit des Zertifikats der Zertifizierungsstelle muss ab heute mindestens ein Jahr betragen. |
Die private Zertifizierungsstelle, die dem Allzweck-Connector zugeordnet ist, muss ab heute eine Gültigkeitsdauer von einem Jahr haben. |
Stellen Sie das Zertifikat mit einer Gültigkeitsdauer von mehr als einem Jahr ab heute erneut aus. Informationen zur Verwaltung von Zertifikaten finden Sie unterVerwalten Sie den privaten CA-Lebenszyklus . |
Nein |
|
ValidationException |
Das in der Anfrage enthaltene Zertifikat ist abgelaufen. |
Das vom Client-Gerät bei jeder Transaktion generierte vorübergehende Zertifikat war bei Empfang durch den Dienst abgelaufen. |
Es ist sehr wahrscheinlich, dass die Zeiteinstellungen Ihrer Client-Geräte nicht richtig konfiguriert sind und dass sie Zertifikate erstellen, deren Datum hinter der Echtzeit zurückliegt. Wenn Sie dieses Problem nicht lösen können, wenden Sie sich an uns, um AWS Support |
Nein |
|
ValidationException |
Die Anfrage enthält eine ungültige kryptografische Nachrichtensyntax. |
Der Dienst konnte die SCEP Anforderungsnachricht nicht dekodieren. |
Überprüfen Sie, ob Ihre SCEP Nachrichten der in 8894 definierten Syntax für kryptografische Nachrichten entsprechen. SCEP RFC |
Nein |
|
ValidationException |
Der Connector ist nicht aktiv. |
Der Status des Connectors ist nicht aktiv. |
Den Status eines Connectors finden Sie in der Konsole oder im Statusfeld in derAPI. Der Status eines Connectors kann „Erstellt“, „Aktiv“, „Löschen“ oder „Fehlgeschlagen“ lauten. Wenn der Status „Wird erstellt“ lautet, versuchen Sie es später mit Ihrer Anfrage. Wenn der Status „Fehlgeschlagen“ lautet, sehen Sie sich den Grund für den Status an, um das Problem zu beheben, und erstellen Sie dann einen neuen Connector. |
Nein |
|
ValidationException |
Die Anfrage muss ein gültiges Zertifikat enthalten. |
Das in der Anforderungsnachricht des Clients enthaltene vorübergehende Zertifikat fehlte entweder oder war ungültig. |
SCEP-kompatible Clients müssen ein selbstsigniertes Zertifikat bereitstellen, um sich zu authentifizieren. Wenn Ihr Kunde das erforderliche selbstsignierte Zertifikat nicht bereitstellen kann, wenden Sie sich an uns, um Unterstützung zu erhalten. AWS Support |
Nein |
|
ValidationException |
Die Anfrage URI ist ungültig. |
Der Connector für SCEP kann die Anfrage nicht analysieren, da der URI Pfad oder die Abfrage der Anforderung ungültig sind. |
Administratoren sollten die Konfigurationseinstellungen der Client-Geräte überprüfen, die normalerweise über ein Mobile Device Management (MDM) -System verwaltet werden. Weitere Informationen finden Sie unter Schritt 2: Kopieren Sie die Connector-Details in Ihr MDM System. |
Nein |
|
ValidationException |
In der Anfrage ist genau ein Host-Header erforderlich. |
Der Client hat in der Anfrage keinen gültigen HTTP Host-Header angegeben, der für die Verarbeitung der Anfrage erforderlich ist. |
Der HTTP Host-Header ist erforderlich, um Anfragen zu unterscheiden, die an verschiedene Konnektoren gesendet werden. Wenn Ihr Kunde den erforderlichen HTTP Host-Header nicht bereitstellen kann, wenden Sie sich an uns, um AWS Support |
Nein |
|
ValidationException |
Die Anfrage konnte nicht dekodiert werden. Bitte senden Sie eine gültige SCEP Anfrage. |
Der Dienst konnte die von Ihrem Client gesendete Cryptographic Message Syntax (CMS) -Anforderung nicht dekodieren und verarbeiten. |
Wenn Ihre Kunden Probleme mit unserer Implementierung von habenSCEP, notieren Sie sich die Anfrage-ID ( |
Nein |
|
ValidationException |
Die Antwort konnte nicht mit den aus der Anfrage abgeleiteten Werten codiert werden. Bitte senden Sie eine gültige SCEP Anfrage. |
Der Dienst konnte die SCEP Antwort nicht verschlüsseln. |
Dieses Problem tritt normalerweise auf, wenn der Dienst das bereitgestellte Zertifikat des Anforderers nicht verwenden kann, um die Antwortnachricht ordnungsgemäß zu verschlüsseln. SCEP Dies kann beispielsweise der Fall sein, wenn das anfordernde Zertifikat über einen Elliptic Curve Digital Signature Algorithm (ECDSA) -Schlüssel verfügt, den Connector for SCEP nicht unterstützt. Wenn Sie auf dieses Problem stoßen, konfigurieren Sie zunächst Ihren MDM oder SCEP Client für die Verwendung. RSA Wenn Sie das Problem immer noch nicht lösen können, notieren Sie sich die Anfrage-ID ( |
Nein |
|
ValidationException |
Algorithmus wird nicht unterstützt: < > OID |
Die Anfrage wurde entweder signiert oder mit einem nicht unterstützten kryptografischen Algorithmus verschlüsselt. |
Unser Service unterstützt bestimmte veraltete und schwache kryptografische Algorithmen nicht. Diese Informationen werden den Kunden im Rahmen der Wenn Ihre Kunden mit den von unserem Service unterstützten kryptografischen Algorithmen nicht kompatibel zu sein scheinen, wenden Sie sich an uns, AWS Support |
Nein |
|
ValidationException |
Nicht unterstützt PkiOperation messageType. |
Die Anforderungsnachricht enthielt einen ungültigen |
Unser Service unterstützt nur eine Teilmenge der in RFC 8894 definierten SCEP Protokollnachrichtentypen. Insbesondere erkennen und verarbeiten wir die folgenden Nachrichtentypen: CertRep,, PKCSReq GetCertCRL, Get und. CertPoll Wir teilen den Clients die unterstützten Nachrichtentypen über die etCACaps G-Methode mit. Leider verwenden einige Kunden diese Methode möglicherweise nicht und entsprechen möglicherweise nicht den Funktionen unseres Dienstes. Wenn Ihre Kunden mit den von unserem Service unterstützten SCEP Nachrichtentypen nicht kompatibel zu sein scheinen, wenden Sie sich an AWS Support |
Nein |
|
BadRequestException |
Das Challenge-Passwort ist ungültig. |
Das vom Client angegebene Challenge-Passwort war für den kontaktierten Dienstendpunkt und den zugehörigen Connector ungültig. Das Challenge-Passwort ist eine erforderliche Sicherheitsmaßnahme, die im SCEP Protokoll definiert ist, um sicherzustellen, dass nur autorisierte Clients auf den Service zugreifen können. |
Stellen Sie sicher, dass Ihr Kunde in seiner Anfrage das richtige Challenge-Passwort angibt. Sie finden sie in den Connector-Details in der Konsole oder über GetChallengePasswordAPI. Weitere Informationen finden Sie unter Schritt 2: Kopieren Sie die Connector-Details in Ihr MDM System. |
Ja |
|
BadRequestException |
In der Anforderung zum Signieren des Zertifikats ist genau ein Challenge-Passwort erforderlich. |
Der Client hat in seiner Anfrage entweder kein oder mehrere Challenge-Passwörter angegeben. |
Stellen Sie sicher, dass Ihr Kunde in seiner Anfrage ein Challenge-Passwort angibt. Sie finden Challenge-Passwörter in den Connector-Details in der Konsole oder über GetChallengePasswordAPI. Weitere Informationen finden Sie unter Schritt 2: Kopieren Sie die Connector-Details in Ihr MDM System. |
Ja |
|
BadRequestException |
Der Connector hat keinen Zugriff auf Azure. |
Connector für Microsoft Intune autorisiert Client-Anfragen über Microsoft Intune. Dazu müssen Sie Connector die Erlaubnis erteilen, auf Ihre SCEP Azure-Ressourcen zuzugreifen. |
Konfigurieren Sie die Berechtigungen, die unter beschrieben sindSchritt 1: Erteilen Sie die AWS Private CA Erlaubnis zur Nutzung Ihrer Microsoft Entra ID-Anwendung. |
Ja |
|
BadRequestException |
Die Azure-Anwendung hat keinen Zugriff auf die Ausführung<action>. |
Connector für Microsoft Intune autorisiert Client-Anfragen über Microsoft Intune. Dazu müssen Sie Connector die Erlaubnis erteilen, auf Ihre SCEP Azure-Ressourcen zuzugreifen. |
Konfigurieren Sie die Berechtigungen, die unter beschrieben sindSchritt 1: Erteilen Sie die AWS Private CA Erlaubnis zur Nutzung Ihrer Microsoft Entra ID-Anwendung. |
Ja |
|
BadRequestException |
Die Azure-Anwendung wurde nicht gefunden. |
Connector für Microsoft Intune autorisiert Client-Anfragen über Microsoft Intune. Dieser Fehler weist darauf hin, dass Ihre Microsoft Entra ID keine App-Registrierung enthält oder dass die Intune-Details Ihres Connectors falsch konfiguriert sind. |
Folgen Sie den Anleitungen im Thema. Microsoft Intune für Connector konfigurieren für SCEP |
Ja |
|
BadRequestException |
Die Überprüfung der Intune-Zertifikatsignieranforderung ist fehlgeschlagen. Grund: <reason> |
Connector für Microsoft Intune autorisiert Client-Anfragen über Microsoft Intune. Diese Fehlermeldung weist darauf hin, dass der Intune-Validierungsprozess fehlgeschlagen ist, und der entsprechende Intune-Fehlercode wird bereitgestellt. |
Folgen Sie den Anleitungen im Microsoft Intune für Connector konfigurieren für SCEP Thema. Wenn das Problem weiterhin besteht, wenden Sie sich an den Microsoft-Support. |
Ja |
|
BadRequestException |
<message type>Nicht unterstützt PkiOperation messageType:. |
Die Anforderungsnachricht enthielt einen ungültigen Nachrichtentyp und konnte vom Dienst nicht verarbeitet werden. |
Unser Service unterstützt nur eine Teilmenge der in RFC 8894 definierten SCEP Protokollnachrichtentypen. Insbesondere erkennen und verarbeiten wir die folgenden Nachrichtentypen: CertRep,, PKCSReq GetCertCRL, Get und. CertPoll Wir teilen den Clients die unterstützten Nachrichtentypen über die etCACaps G-Methode mit. Leider verwenden einige Kunden diese Methode möglicherweise nicht und entsprechen möglicherweise nicht den Funktionen unseres Dienstes. Wenn Ihre Kunden mit den von unserem Service unterstützten SCEP Nachrichtentypen nicht kompatibel zu sein scheinen, wenden Sie sich an AWS Support |
Ja |
|
BadRequestException |
Schlüsselalgorithmus oder Länge werden nicht unterstützt. |
Der Dienst unterstützt den bereitgestellten öffentlichen Schlüssel, der in der Zertifikatsignieranforderung enthalten ist, nicht. |
Unser Service unterstützt nur RSA Standardschlüssel mit bis zu 16.384 Bit und ECDSA Schlüssel mit bis zu 521 Bit. Wenn Ihre Kunden einen Algorithmus benötigen, der derzeit nicht unterstützt wird, wenden Sie sich bitte an uns AWS Support |
Ja |
HTTP401 Nicht autorisiert
Der Statuscode 401 Unauthorized response gibt an, dass die Client-Anfrage nicht abgeschlossen wurde, da sie keine gültigen Authentifizierungsdaten für die angeforderte Ressource enthält.
| Antwortheader (x-amzn-) ErrorType | Fehlermeldung (x-amzn-) ErrorMessage | Ursache | Abhilfe | Beinhaltet Antwort? SCEP |
|---|---|---|---|---|
|
AccessDeniedException |
Der Connector hat keinen Zugriff auf die Zertifizierungsstelle. |
Der Connector für SCEP hat keinen Zugriff auf die dem Connector zugeordnete private CA. |
Teilen Sie Ihre private CA mit dem Connector zur SCEP Nutzung AWS Resource Access Manager. |
Nein |
|
AccountDoesNotExistException |
Das AWS Konto existiert nicht. |
Der Konnektor für die SCEP Ressource ist nicht mehr vorhanden. |
Das Konto, dem die Zielressource gehört, wurde gelöscht. Falls dies versehentlich geschehen ist, wenden Sie sich AWS Support |
Nein |
HTTP404 Nicht gefunden
Ein HTTP 404-Antwortcode bedeutet normalerweise, dass die gesuchte Ressource nicht gefunden werden konnte.
| Antwort-Header (x-amzn- ErrorType | Fehlermeldung (x-amzn-) ErrorMessage | Ursache | Abhilfe | Beinhaltet Antwort? SCEP |
|---|---|---|---|---|
|
ResourceNotFoundException |
Die Zertifizierungsstelle ist nicht vorhanden. |
Die dem Connector zugeordnete private CA wurde gelöscht. |
Es gibt eine Übergangsfrist, in der eine private Zertifizierungsstelle (CA) wiederhergestellt werden kann, falls sie versehentlich gelöscht wurde. Weitere Informationen finden Sie unter Stellen Sie eine private CA wieder her. |
Nein |
|
ResourceNotFoundException |
Ein Konnektor mit dem Endpunkt < URL > ist nicht vorhanden. |
Das Client-Gerät hat versucht, eine Verbindung zu einem herzustellenURL, der zu keinem vorhandenen Connector gehört. |
Stellen Sie sicher, dass Ihr Client den richtigen Endpunkt für den Connector bereitstellt. Um den eines Connectors anzuzeigen |
Nein |
HTTP409 Konflikt
Eine HTTP 409-Konfliktantwort signalisiert, dass sich eine private CA, die einem Connector zugeordnet ist, seit die Anfrage initiiert wurde, geändert hat.
| Antwort-Header (x-amzn-) ErrorType | Fehlermeldung (x-amzn-) ErrorMessage | Ursache | Abhilfe | Beinhaltet Antwort? SCEP |
|---|---|---|---|---|
|
ConflictException |
Der Konnektor hat sich geändert, seit die Anfrage initiiert wurde. |
Die dem Connector zugeordnete private CA wurde aktualisiert, wodurch eine Rotation des internen Zertifikats des Connectors ausgelöst wurde, das für die Kommunikation mit Client-Geräten über SCEP verwendet wird. Diese Zertifikatsrotation kann während des Aktualisierungszeitraums zu vorübergehenden Problemen führen, da das neue Zertifikat bereitgestellt wird. Dieser Fehler sollte jedoch rechtzeitig automatisch behoben werden. |
Versuchen Sie es in ein paar Minuten erneut mit Ihrer Anfrage. Wenn das Problem nicht behoben werden kann, wenden Sie sich an uns, um AWS Support |
Nein |
HTTP429 Zu viele Anfragen
Connector für SCEP hat Kontingente auf Kontoebene pro Region. Wenn Sie das Limit für Anfragen an einen Connector überschreiten, werden Ihre Anfragen mit dem Fehler HTTP 429 abgelehnt. Wenn Sie Ihr Kontingent erhöhen müssen, finden Sie weitere Informationen unter AWS Private Certificate Authority Endpunkte und Kontingente.
| Antwort-Header (x-amzn-) ErrorType | Fehlermeldung (x-amzn-) ErrorMessage | Ursache | Abhilfe | Beinhaltet Antwort? SCEP |
|---|---|---|---|---|
|
ThrottlingException |
Die Anforderung wurde aufgrund der Drosselung von Anforderungen abgelehnt. |
Es wurden zu viele Anfragen an diesen Connector gestellt, sodass einige Anfragen abgelehnt wurden. Diese Zertifikatsrotation kann während des Aktualisierungszeitraums zu vorübergehenden Problemen führen, da das neue Zertifikat bereitgestellt wird. Dieser Fehler sollte jedoch rechtzeitig automatisch behoben werden. |
Wenn Sie das Limit für Anfragen an einen Connector überschreiten, werden Ihre Anfragen abgelehnt. Wenn Sie Ihr Kontingent erhöhen müssen, finden Sie unter Connector Informationen zu SCEP Endpunkten und Kontingenten. |
Nein |
