Connector for HTTP からの SCEP エラーのトラブルシューティング

LimitExceededException

認証機関の発行制限を超えました。

コネクタに関連付けられたプライベート認証機関 (CA) が、発行できる証明書数のクォータを超えています。

SCEP コネクタは、その存続期間中は 1 つのプライベート CA にのみ接続できます。プライベート CA の制限を使い果たした場合は、新しいコネクタを作成するか、クォータの引き上げをリクエストします。プライベート CA クォータの詳細については、「 AWS Private Certificate Authority クォータ」を参照してください。

なし

ValidationException

リクエストには base64 が含まれている必要があります。

Connector for SCEP は、本文が有効な Base64 ではないためHTTP、GET リクエストを処理できません。

可能であれば、HTTP メッセージPOSTの代わりに HTTPGET メッセージを使用するようにクライアントを設定します。HTTP GETする必要がある場合、メッセージは Base64 形式を使用する必要があります。クライアントがこれらの要件と互換性がない場合は、 AWS Support にお問い合わせください。

なし

ValidationException

認証局がアクティブではありません。

コネクタに関連付けられたプライベート CA は非アクティブです。

プライベート CA を再度有効にします。詳細については、でプライベート CA を更新する AWS Private Certificate Authority を参照してください。

なし

ValidationException

認証機関の証明書の有効性は、本日より 1 年以上経過している必要があります。

汎用コネクタに関連付けられたプライベート CA には、今日から 1 年間の有効期間が必要です。

本日より 1 年を超える有効期間で証明書を再発行します。証明書の管理については、「」を参照してくださいプライベート CA ライフサイクルを管理する 。

なし

ValidationException

リクエストに含まれる証明書の有効期限が切れています。

各トランザクションでクライアントデバイスによって生成された一時的な証明書は、サービスによる受信時に期限切れになりました。

ほとんどの場合、クライアントデバイスには時間設定が正しく設定されておらず、リアルタイムより後の日付の証明書を作成しています。この問題を解決できない場合は、 AWS Support にお問い合わせください。

なし

ValidationException

リクエストに無効な暗号化メッセージ構文が含まれています。

サービスは SCEP リクエストメッセージをデコードできませんでした。

SCEP メッセージが Word SCEPRFC8894 で定義されている暗号化メッセージ構文に準拠しているかどうかを確認します。この問題を解決できない場合は、 AWS Support にお問い合わせください。

なし

ValidationException

コネクタはアクティブではありません。

コネクタのステータスはアクティブではありません。

コネクタのステータスは、コンソールまたは API のステータスhttps://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20whyフィールドにあります。コネクタのステータスは、作成、アクティブ、削除、または失敗の可能性があります。ステータスが作成されている場合は、後でリクエストを試してください。ステータスが失敗した場合は、ステータスの理由を表示して問題をトラブルシューティングし、新しいコネクタを作成します。

なし

ValidationException

リクエストには有効な証明書が含まれている必要があります。

クライアントからのリクエストメッセージに含まれる一時的な証明書がないか、無効でした。

SCEP 互換クライアントは、自己署名証明書を提供して自身を認証する必要があります。クライアントが必要な自己署名証明書を提供できない場合は、 AWS Support にお問い合わせください。

なし

ValidationException

リクエストURIが無効です。

Connector for SCEP は、リクエストの URI パスまたはクエリが無効であるため、リクエストを解析できません。

管理者は、クライアントデバイスの構成設定を検証する必要があります。これは通常、モバイルデバイス管理 (MDM) システムを通じて管理されます。詳細については、「ステップ 2: コネクタの詳細を MDM システムにコピーする」を参照してください。

なし

ValidationException

リクエストには 1 つのホストヘッダーが必要です。

クライアントがリクエストに有効な HTTP Host ヘッダーを指定しませんでした。これは、リクエストを処理するために必要です。

HTTP ホストヘッダーは、異なるコネクタへのリクエストを区別するために必要です。クライアントが必要な HTTP ホストヘッダーを提供できない場合は、 AWS Support にお問い合わせください。

なし

ValidationException

リクエストをデコードできませんでした。有効な SCEP リクエストを送信してください。

サービスは、クライアントが送信した暗号化メッセージ構文 (CMS) リクエストをデコードして処理できませんでした。

クライアントで SCEP の実装に問題がある場合は、レスポンスのリクエスト ID (x-amzn-requestid) を書き留めて、 にお問い合わせくださいAWS Support。

なし

ValidationException

レスポンスをリクエストから派生した値でエンコードできませんでした。有効な SCEP リクエストを送信してください。

サービスは SCEP レスポンスをエンコードできませんでした。

この問題は通常、サービスが提供されたリクエスタ証明書を使用して SCEP レスポンスメッセージを適切にエンコードできない場合に発生します。これは、例えば、リクエスタ証明書に Elliptic Curve Digital Signature Algorithm (ECDSA) キーがあり、Connector for SCEP がサポートしていない場合に発生する可能性があります。

この問題が発生した場合は、まず MDM を使用するように SCEP または RSA クライアントを設定します。それでも問題を解決できない場合は、レスポンスのリクエスト ID (x-amzn-requestid) を書き留めて、 AWS Support にお問い合わせください。

なし

ValidationException

サポートされていないアルゴリズム: <OID＞

リクエストが署名されているか、サポートされていない暗号化アルゴリズムによって暗号化されました。

当社のサービスは、特定の古くて弱い暗号化アルゴリズムをサポートしていません。この情報は、GetCACapsリクエストを通じてクライアントに伝えられます。ただし、一部のクライアントは、この方法を使用してサポートされているアルゴリズムをチェックしない場合があります。

クライアントが当社のサービスでサポートされている暗号化アルゴリズムと互換性がないと思われる場合は、 AWS Support にお問い合わせください。

なし

ValidationException

サポートされていない PkiOperation messageTypeWord。

リクエストメッセージに無効なPkiOperationメッセージタイプが含まれており、サービスで処理できませんでした。

当社のサービスは、SCEP 8894 で定義されている RFC プロトコルメッセージタイプのサブセットのみをサポートしています。具体的には、Word、 CertRep、PKCSReq、 GetCertGetCRL、 CertPoll のメッセージタイプを認識して処理します。

サポートされているメッセージタイプは、GetCACaps メソッドを介してクライアントに伝えられます。残念ながら、一部のクライアントはこの方法を利用していない可能性があり、サービスの機能に準拠していない可能性があります。

クライアントが当社のサービスでサポートされている SCEP メッセージタイプと互換性がないと思われる場合は、 にお問い合わせくださいAWS Support。

なし

BadRequestException

チャレンジパスワードが無効です。

クライアントによって提供されたチャレンジパスワードは、接続されたサービスエンドポイントとそれに関連付けられたコネクタに対して無効でした。チャレンジパスワードは、許可されたクライアントのみがサービスにアクセスできるように、SCEP プロトコルで定義された必須のセキュリティ対策です。

クライアントがリクエストで正しいチャレンジパスワードを提供していることを確認してください。コネクタの詳細は、コンソールまたは GetChallengePassword API確認できます。詳細については、「ステップ 2: コネクタの詳細を MDM システムにコピーする」を参照してください。

はい

BadRequestException

証明書署名リクエストには、チャレンジパスワードが 1 つ必要です。

クライアントは、リクエストでゼロまたは複数のチャレンジパスワードを提供しました。

クライアントがリクエストでチャレンジパスワードを 1 つ指定していることを確認します。チャレンジパスワードは、コンソールまたは GetChallengePassword を通じてコネクタの詳細で確認できますAPI。詳細については、「ステップ 2: コネクタの詳細を MDM システムにコピーする」を参照してください。

はい

BadRequestException

コネクタは Azure にアクセスできません。

Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。これには、Connector for SCEP が Azure リソースにアクセスするためのアクセス許可を付与する必要があります。

で詳しく説明されているアクセス許可を設定しますステップ 1: Microsoft Entra ID アプリケーションを使用する AWS Private CA アクセス許可を付与する。

はい

BadRequestException

Azure アプリケーションには、<action> を実行するアクセス権限がありません。

Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。これには、Connector for SCEP が Azure リソースにアクセスするためのアクセス許可を付与する必要があります。

で詳しく説明されているアクセス許可を設定しますステップ 1: Microsoft Entra ID アプリケーションを使用する AWS Private CA アクセス許可を付与する。

はい

BadRequestException

Azure アプリケーションが見つかりませんでした。

Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。このエラーは、Microsoft Entra ID にアプリ登録がないか、コネクタの Intune の詳細が誤って設定されていることを示しています。

Connector for SCEP の Microsoft Intune を設定する トピックのガイダンスに従ってください。

はい

BadRequestException

Intune 証明書署名リクエストの検証に失敗しました。理由: <reason>

Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。このエラーメッセージは、Intune 検証プロセスが失敗し、対応する Intune エラーコードが提供されていることを示します。

Connector for SCEP の Microsoft Intune を設定する トピックのガイダンスに従ってください。問題が解決しない場合は、Microsoft サポートにお問い合わせください。

はい

BadRequestException

サポートされていないmessageType PkiOperation : <message type>。

リクエストメッセージに無効なメッセージタイプが含まれ、サービスで処理できませんでした。

当社のサービスは、SCEP 8894 で定義されている RFC プロトコルメッセージタイプのサブセットのみをサポートしています。具体的には、Word、 CertRep、PKCSReq、 GetCertGetCRL、 CertPoll のメッセージタイプを認識して処理します。

サポートされているメッセージタイプは、GetCACaps メソッドを介してクライアントに伝えられます。残念ながら、一部のクライアントはこの方法を利用していない可能性があり、サービスの機能に準拠していない可能性があります。

クライアントが当社のサービスでサポートされている SCEP メッセージタイプと互換性がないと思われる場合は、 にお問い合わせくださいAWS Support。

はい

BadRequestException

キーアルゴリズムまたは長さはサポートされていません。

このサービスは、証明書署名リクエストに含まれる提供されたパブリックキーをサポートしていません。

当社のサービスは、最大 16,384 ビットの標準 RSA キーと最大 521 ビットの ECDSA キーのみをサポートしています。クライアントで現在サポートされていないアルゴリズムを使用する必要がある場合は、 AWS Support にお問い合わせください。

はい

AccessDeniedException

コネクタは認証機関にアクセスできません。

Connector for SCEP は、コネクタに関連付けられたプライベート CA にアクセスできません。

を使用して、プライベート CA を Connector for SCEP と共有します AWS Resource Access Manager。

なし

AccountDoesNotExistException

AWS アカウントが存在しません。

Connector for SCEP リソースが存在しなくなりました。

ターゲットリソースを所有するアカウントが削除されました。これを誤って実行した場合は、閉鎖後 90 AWS Support 日以内に に連絡してください。

なし

ResourceNotFoundException

認証機関が存在しません。

コネクタに関連付けられたプライベート CA が削除されました。

プライベート認証局 (CA) が誤って削除された場合に復元できる猶予期間があります。詳細については、「プライベート CA を復元する」を参照してください。

なし

ResourceNotFoundException

エンドポイント <URL> を持つコネクタは存在しません。

クライアントデバイスが、既存のコネクタに属さない URL に接続しようとしました。

クライアントがコネクタに正しいエンドポイントを提供していることを確認します。コネクタの を表示するにはEndpoint、GetConnector API を呼び出すか、コンソールのコネクタの詳細ページで表示します。

なし

ConflictException

リクエストが開始されてからコネクタが変更されました。

コネクタに関連付けられたプライベート CA が更新され、SCEP を介したクライアントデバイスとの通信に使用されるコネクタの内部証明書のローテーションがトリガーされました。

この証明書のローテーションにより、新しい証明書がデプロイされる際に、更新期間中に一時的な問題が発生する可能性があります。ただし、このエラーはタイムリーに自動的に解決する必要があります。

数分後にリクエストを再試行してください。問題が解決しない場合は、 AWS Support にお問い合わせください。

なし

ThrottlingException

リクエストのスロットリングにより、リクエストが拒否されました。

このコネクタに対して発行されたリクエストが多すぎるため、一部のリクエストが拒否されます。

この証明書のローテーションにより、新しい証明書がデプロイされる際に、更新期間中に一時的な問題が発生する可能性があります。ただし、このエラーはタイムリーに自動的に解決する必要があります。

コネクタへのリクエストの制限を超えると、リクエストは拒否されます。クォータを増やす必要がある場合は、「 Connector for SCEP エンドポイントとクォータ」を参照してください。

なし