Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résoudre les erreurs HTTP provenant de Connector for SCEP
Lorsque votre client déclenche une action d'API Connector for SCEP et qu'elle entraîne une erreur, Connector for SCEP envoie un code de réponse HTTP au client demandeur contenant des informations sur l'erreur.
Outre les réponses de service fournies directement à vos clients, vous pouvez utiliser les outils de surveillance décrits dans la Connecteur de moniteur pour SCEP section pour visualiser et corriger les erreurs qui se traduisent par une erreur HTTP.
Vous trouverez ci-dessous les messages d'erreur renvoyés par le service aux clients SCEP, les causes potentielles et les mesures que vous pouvez prendre pour résoudre les problèmes.
Mauvaise requête HTTP 400
Un code de réponse HTTP 400 signifie que Connector for SCEP ne peut pas traiter la demande en raison d'une erreur client apparente, telle que des données manquantes ou non valides dans la demande. Si l'erreur résulte d'une erreur spécifique au protocole SCEP, Connector for SCEP inclut la réponse SCEP sous forme binaire dans le message. Le connecteur pour SCEP APIs peut renvoyer 400 réponses pour l'une des raisons suivantes.
| En-tête de réponse (x-amzn-) ErrorType | Message d'erreur (x-amzn-) ErrorMessage | Cause profonde | Correction | Inclut-il la réponse SCEP ? |
|---|---|---|---|---|
|
LimitExceededException |
La limite d'émission de l'autorité de certification est dépassée. |
L'autorité de certification privée (CA) associée au connecteur a dépassé son quota pour le nombre de certificats qu'elle peut émettre. |
Un connecteur SCEP ne peut être connecté qu'à une autorité de certification privée pendant toute sa durée de vie. Si vous avez dépassé les limites de votre autorité de certification privée, créez un nouveau connecteur ou demandez une augmentation de quota. Pour plus d'informations sur les quotas d'autorités de certification privées, consultez la section AWS Private Certificate Authority quotas. |
Non |
|
ValidationException |
La demande doit contenir du base64. |
Le connecteur pour SCEP ne peut pas traiter la requête HTTP GET car le corps n'est pas valide en Base64. |
Si possible, configurez vos clients pour qu'ils utilisent des messages HTTP POST au lieu de messages HTTP GET. Si vous devez utiliser HTTP GET, les messages doivent utiliser le format Base64. Si vos clients ne sont pas compatibles avec ces exigences, contactez AWS Support |
Non |
|
ValidationException |
L'autorité de certification n'est pas active. |
L'autorité de certification privée associée au connecteur est inactive. |
Réactivez l'autorité de certification privée. Pour plus d’informations, veuillez consulter Mettre à jour une autorité de certification privée dans AWS Private Certificate Authority. |
Non |
|
ValidationException |
La validité du certificat de l'autorité de certification doit être d'au moins un an à compter d'aujourd'hui. |
L'autorité de certification privée associée au connecteur à usage général doit avoir une période de validité d'un an à compter d'aujourd'hui. |
Réémettez le certificat avec une période de validité supérieure à un an à compter d'aujourd'hui. Pour plus d'informations sur la gestion des certificats, consultezGérer le cycle de vie de l'autorité de certification privée . |
Non |
|
ValidationException |
Le certificat inclus dans la demande a expiré. |
Le certificat transitoire généré par le dispositif client lors de chaque transaction a expiré à sa réception par le service. |
Il est fort probable que les paramètres d'heure de vos appareils clients ne soient pas correctement configurés et qu'ils créent des certificats dont les dates sont décalées par rapport au temps réel. Si vous ne parvenez pas à résoudre ce problème, contactez AWS Support |
Non |
|
ValidationException |
La demande contient une syntaxe de message cryptographique non valide. |
Le service n'a pas pu décoder le message de demande SCEP. |
Vérifiez si vos messages SCEP sont conformes à la syntaxe des messages cryptographiques définie dans la norme SCEP |
Non |
|
ValidationException |
Le connecteur n'est pas actif. |
L'état du connecteur n'est pas actif. |
Vous pouvez trouver le statut d'un connecteur dans la console ou dans le champ Status de l'API. L'état d'un connecteur peut être créé, actif, supprimé ou avoir échoué. Si le statut est en cours de création, essayez votre demande ultérieurement. Si le statut est un échec, consultez la raison du statut pour résoudre le problème, puis créez un nouveau connecteur. |
Non |
|
ValidationException |
Un certificat valide doit être inclus dans la demande. |
Le certificat transitoire inclus dans le message de demande du client était manquant ou non valide. |
Les clients compatibles avec le SCEP doivent fournir un certificat auto-signé pour s'authentifier. Si votre client n'est pas en mesure de fournir le certificat auto-signé requis, contactez AWS Support |
Non |
|
ValidationException |
L'URI de demande n'est pas valide. |
Le connecteur pour SCEP ne peut pas analyser la demande car le chemin d'URI ou la requête de la demande n'est pas valide. |
Les administrateurs doivent vérifier les paramètres de configuration des appareils clients, qui sont généralement gérés via un système de gestion des appareils mobiles (MDM). Pour de plus amples informations, veuillez consulter Étape 2 : Copier les détails du connecteur dans votre système MDM. |
Non |
|
ValidationException |
Exactement un en-tête d'hôte est requis dans la demande. |
Le client n'a pas fourni d'en-tête HTTP Host valide dans la demande, ce qui est nécessaire pour que la demande soit traitée. |
L'en-tête de l'hôte HTTP est nécessaire pour distinguer les demandes provenant de différents connecteurs. Si votre client n'est pas en mesure de fournir l'en-tête d'hôte HTTP requis, contactez AWS Support |
Non |
|
ValidationException |
La demande n'a pas pu être décodée. Veuillez envoyer une demande SCEP valide. |
Le service n'a pas pu décoder et traiter la demande de syntaxe des messages cryptographiques (CMS) envoyée par votre client. |
Si vos clients rencontrent des difficultés avec notre implémentation du SCEP, notez l'ID de demande ( |
Non |
|
ValidationException |
La réponse n'a pas pu être codée avec les valeurs dérivées de la demande. Veuillez envoyer une demande SCEP valide. |
Le service n'a pas pu encoder la réponse SCEP. |
Ce problème se produit généralement lorsque le service n'est pas en mesure d'utiliser le certificat du demandeur fourni pour encoder correctement le message de réponse SCEP. Cela peut se produire, par exemple, si le certificat du demandeur possède une clé ECDSA (Elliptic Curve Digital Signature Algorithm), que Connector for SCEP ne prend pas en charge. Si vous rencontrez ce problème, configurez d'abord votre client MDM ou SCEP pour utiliser RSA. Si vous ne parvenez toujours pas à résoudre le problème, notez l'ID de demande ( |
Non |
|
ValidationException |
Algorithme non pris en charge : <OID> |
La demande a été signée ou chiffrée par un algorithme cryptographique non pris en charge. |
Notre service ne prend pas en charge certains algorithmes cryptographiques obsolètes et faibles. Ces informations sont communiquées aux clients par le biais de la Si vos clients semblent incompatibles avec les algorithmes cryptographiques pris en charge par notre service, contactez AWS Support |
Non |
|
ValidationException |
PkiOperation MessageType non pris en charge. |
Le message de demande contenait un type de |
Notre service ne prend en charge qu'un sous-ensemble des types de messages du protocole SCEP définis dans la RFC 8894. Plus précisément, nous reconnaissons et traitons les types de messages suivants : CertRep, PKCSReq, GetCert, GetCRL et. CertPoll Nous communiquons les types de messages pris en charge aux clients par le biais de la CACaps méthode Get. Malheureusement, certains clients n'utilisent peut-être pas cette méthode et peuvent ne pas respecter les fonctionnalités de notre service. Si vos clients semblent incompatibles avec les types de messages SCEP pris en charge par notre service, contactez AWS Support |
Non |
|
BadRequestException |
Le mot de passe du challenge n'est pas valide. |
Le mot de passe de défi fourni par le client n'était pas valide pour le point de terminaison de service contacté et son connecteur associé. Le mot de passe de défi est une mesure de sécurité obligatoire définie dans le protocole SCEP pour garantir que seuls les clients autorisés peuvent accéder au service. |
Assurez-vous que votre client fournit le bon mot de passe de défi dans sa demande. Vous trouverez les détails du connecteur dans la console ou via l'GetChallengePasswordAPI. Pour de plus amples informations, veuillez consulter Étape 2 : Copier les détails du connecteur dans votre système MDM. |
Oui |
|
BadRequestException |
Un seul mot de passe de défi est requis dans la demande de signature du certificat. |
Le client n'a fourni aucun ou plusieurs mots de passe de défi dans sa demande. |
Assurez-vous que votre client fournit un mot de passe de défi dans sa demande. Vous pouvez trouver les mots de passe de défi dans les détails du connecteur dans la console ou via l'GetChallengePasswordAPI. Pour de plus amples informations, veuillez consulter Étape 2 : Copier les détails du connecteur dans votre système MDM. |
Oui |
|
BadRequestException |
Le connecteur n'a pas accès à Azure. |
Connector for Microsoft Intune autorise les demandes des clients via Microsoft Intune. Cela nécessite que vous autorisiez Connector for SCEP à accéder à vos ressources Azure. |
Configurez les autorisations détaillées dansÉtape 1 : accorder AWS Private CA l'autorisation d'utiliser votre application Microsoft Entra ID. |
Oui |
|
BadRequestException |
L'application Azure n'a pas accès aux performances<action>. |
Connector for Microsoft Intune autorise les demandes des clients via Microsoft Intune. Cela nécessite que vous autorisiez Connector for SCEP à accéder à vos ressources Azure. |
Configurez les autorisations détaillées dansÉtape 1 : accorder AWS Private CA l'autorisation d'utiliser votre application Microsoft Entra ID. |
Oui |
|
BadRequestException |
L'application Azure est introuvable. |
Connector for Microsoft Intune autorise les demandes des clients via Microsoft Intune. Cette erreur indique que votre identifiant Microsoft Entra ne contient aucun enregistrement d'application ou que les informations Intune de votre connecteur sont mal configurées. |
Suivez les instructions de la Configuration de Microsoft Intune pour Connector pour SCEP rubrique. |
Oui |
|
BadRequestException |
La validation de la demande de signature de certificat Intune a échoué. Motif : <reason> |
Connector for Microsoft Intune autorise les demandes des clients via Microsoft Intune. Ce message d'erreur indique que le processus de validation Intune a échoué et le code d'erreur Intune correspondant est fourni. |
Suivez les instructions de la Configuration de Microsoft Intune pour Connector pour SCEP rubrique. Si le problème persiste, contactez le Support Microsoft. |
Oui |
|
BadRequestException |
PkiOperation <message type>MessageType non pris en charge :. |
Le message de demande contenait un type de message non valide et n'a pas pu être traité par le service. |
Notre service ne prend en charge qu'un sous-ensemble des types de messages du protocole SCEP définis dans la RFC 8894. Plus précisément, nous reconnaissons et traitons les types de messages suivants : CertRep, PKCSReq, GetCert, GetCRL et. CertPoll Nous communiquons les types de messages pris en charge aux clients par le biais de la CACaps méthode Get. Malheureusement, certains clients n'utilisent peut-être pas cette méthode et peuvent ne pas respecter les fonctionnalités de notre service. Si vos clients semblent incompatibles avec les types de messages SCEP pris en charge par notre service, contactez AWS Support |
Oui |
|
BadRequestException |
L'algorithme ou la longueur de la clé ne sont pas pris en charge. |
Le service ne prend pas en charge la clé publique fournie dans la demande de signature du certificat. |
Notre service ne prend en charge que les clés RSA standard jusqu'à 16 384 bits et les clés ECDSA jusqu'à 521 bits. Si vos clients ont besoin d'utiliser un algorithme actuellement non pris en charge, veuillez contacter AWS Support |
Oui |
HTTP 401 non autorisé
Un code d'état de réponse non autorisée 401 indique que la demande du client n'a pas été traitée car elle ne dispose pas d'informations d'authentification valides pour la ressource demandée.
| En-tête de réponse (x-amzn-) ErrorType | Message d'erreur (x-amzn-) ErrorMessage | Cause profonde | Correction | Inclut-il la réponse SCEP ? |
|---|---|---|---|---|
|
AccessDeniedException |
Le connecteur n'a pas accès à l'autorité de certification. |
Le connecteur pour SCEP n'a pas accès à l'autorité de certification privée associée au connecteur. |
Partagez votre autorité de certification privée avec le Connector for SCEP en utilisant AWS Resource Access Manager. |
Non |
|
AccountDoesNotExistException |
Le AWS compte n'existe pas. |
La ressource Connector for SCEP n'existe plus. |
Le compte propriétaire de la ressource cible a été supprimé. Si cela a été fait par erreur, contactez-nous AWS Support |
Non |
HTTP 404 introuvable
Un code de réponse HTTP 404 signifie généralement que la ressource que vous recherchez est introuvable.
| En-tête de réponse (x-amzn- ErrorType | Message d'erreur (x-amzn-) ErrorMessage | Cause profonde | Correction | Inclut-il la réponse SCEP ? |
|---|---|---|---|---|
|
ResourceNotFoundException |
L'autorité de certification n'existe pas. |
L'autorité de certification privée associée au connecteur a été supprimée. |
Il existe une période de grâce pendant laquelle une autorité de certification (CA) privée peut être restaurée si elle a été supprimée par erreur. Pour de plus amples informations, veuillez consulter Restaurer une autorité de certification privée. |
Non |
|
ResourceNotFoundException |
Il n'<URL>existe pas de connecteur avec point de terminaison. |
L'appareil client a tenté de se connecter à une URL qui n'appartient à aucun connecteur existant. |
Assurez-vous que votre client fournit le point de terminaison approprié pour le connecteur. Pour consulter un connecteur |
Non |
Conflit HTTP 409
Une réponse HTTP 409 Conflict indique qu'une autorité de certification privée associée à un connecteur a changé depuis le lancement de la demande.
| En-tête de réponse (x-amzn-) ErrorType | Message d'erreur (x-amzn-) ErrorMessage | Cause profonde | Correction | Inclut-il la réponse SCEP ? |
|---|---|---|---|---|
|
ConflictException |
Le connecteur a changé depuis le lancement de la demande. |
L'autorité de certification privée associée au connecteur a été mise à jour, déclenchant une rotation du certificat interne du connecteur utilisé pour la communication avec les appareils clients via SCEP. Cette rotation des certificats peut entraîner des problèmes temporaires pendant la période de mise à jour, lors du déploiement du nouveau certificat. Cependant, cette erreur doit être résolue automatiquement en temps opportun. |
Réessayez votre demande dans quelques minutes. Si le problème persiste, contactez AWS Support |
Non |
HTTP 429 Trop de requêtes
Connector for SCEP dispose de quotas au niveau du compte, par région. Si vous dépassez la limite de demandes adressées à un connecteur, vos demandes seront refusées avec une erreur HTTP 429. Si vous devez augmenter votre quota, consultez la section AWS Private Certificate Authority Points de terminaison et quotas.
| En-tête de réponse (x-amzn-) ErrorType | Message d'erreur (x-amzn-) ErrorMessage | Cause profonde | Correction | Inclut-il la réponse SCEP ? |
|---|---|---|---|---|
|
ThrottlingException |
La demande a été refusée suite à une limitation des demandes. |
Trop de demandes ont été envoyées à ce connecteur, ce qui a entraîné le refus de certaines demandes. Cette rotation des certificats peut entraîner des problèmes temporaires pendant la période de mise à jour, lors du déploiement du nouveau certificat. Cependant, cette erreur doit être résolue automatiquement en temps opportun. |
Si vous dépassez le nombre limite de demandes adressées à un connecteur, vos demandes seront refusées. Si vous devez augmenter votre quota, consultez Connector for SCEP endpoints and quotas. |
Non |
