Connector for HTTP의 SCEP 오류 문제 해결

LimitExceededException

인증 기관 발급 한도를 초과했습니다.

커넥터와 연결된 프라이빗 인증 기관(CA)이 발급할 수 있는 인증서 수의 할당량을 초과했습니다.

SCEP 커넥터는 수명 동안 하나의 프라이빗 CA에만 연결할 수 있습니다. 프라이빗 CA의 한도를 모두 사용한 경우 새 커넥터를 생성하거나 할당량 증가를 요청합니다. 프라이빗 CA 할당량에 대한 자세한 내용은 AWS Private Certificate Authority 할당량을 참조하세요.

아니요

ValidationException

요청에 base64가 포함되어야 합니다.

본문이 유효한 Base64가 아니므로 SCEP용 커넥터가 HTTP GET 요청을 처리할 수 없습니다.

가능하면 POST HTTP 메시지 대신 GET HTTP Word 메시지를 사용하도록 클라이언트를 구성합니다. HTTPGET를 사용해야 하는 경우 메시지는 Base64 형식을 사용해야 합니다. 클라이언트가 이러한 요구 사항과 호환되지 않는 경우 AWS Support에 문의하여 지원을 받으세요.

아니요

ValidationException

인증 기관이 활성 상태가 아닙니다.

커넥터와 연결된 프라이빗 CA가 비활성 상태입니다.

프라이빗 CA를 다시 활성화합니다. 자세한 내용은 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority을 참조하세요.

아니요

ValidationException

인증 기관 인증서 유효 기간은 오늘부터 최소 1년이어야 합니다.

범용 커넥터와 연결된 프라이빗 CA의 유효 기간은 오늘부터 1년이어야 합니다.

오늘부터 1년 이상의 유효 기간이 있는 인증서를 재발급합니다. 인증서 관리에 대한 자세한 내용은 섹션을 참조하세요프라이빗 CA 수명 주기 관리 .

아니요

ValidationException

요청에 포함된 인증서가 만료되었습니다.

각 트랜잭션에서 클라이언트 디바이스가 생성한 임시 인증서는 서비스 수신 시 만료되었습니다.

클라이언트 디바이스에 시간 설정이 제대로 구성되지 않아 날짜가 실시간인 인증서를 생성할 가능성이 높습니다. 이 문제를 해결할 수 없는 경우 AWS Support에 문의하여 지원을 받으세요.

아니요

ValidationException

요청에 잘못된 암호화 메시지 구문이 포함되어 있습니다.

서비스가 SCEP 요청 메시지를 디코딩할 수 없습니다.

SCEP 메시지가 Word SCEPRFC8894에 정의된 암호화 메시지 구문을 준수하는지 확인합니다. 이 문제를 해결할 수 없는 경우 AWS Support에 문의하여 지원을 받으세요.

아니요

ValidationException

커넥터가 활성 상태가 아닙니다.

커넥터의 상태가 활성 상태가 아닙니다.

콘솔 또는 API의 상태 필드에서 커넥터의 상태를 찾을 수 있습니다. 커넥터의 상태는 생성, 활성, 삭제 또는 실패일 수 있습니다. 상태가 생성 중인 경우 나중에 요청을 시도하세요. 상태가 실패하면 상태 이유를 보고 문제를 해결한 다음 새 커넥터를 생성합니다.

아니요

ValidationException

요청에 유효한 인증서가 포함되어야 합니다.

클라이언트의 요청 메시지에 포함된 임시 인증서가 누락되었거나 유효하지 않습니다.

SCEP 호환 클라이언트는 자체 인증을 위해 자체 서명된 인증서를 제공해야 합니다. 클라이언트가 필요한 자체 서명된 인증서를 제공할 수 없는 경우 AWS Support에 문의하여 지원을 받으십시오.

아니요

ValidationException

요청 URI가 유효하지 않습니다.

요청의 SCEP 경로 또는 쿼리가 유효하지 않아 URI용 커넥터가 요청을 구문 분석할 수 없습니다.

관리자는 일반적으로 모바일 디바이스 관리(MDM) 시스템을 통해 관리되는 클라이언트 디바이스의 구성 설정을 확인해야 합니다. 자세한 내용은 2단계: 커넥터 세부 정보를 MDM 시스템에 복사 단원을 참조하십시오.

아니요

ValidationException

요청에 정확히 하나의 호스트 헤더가 필요합니다.

클라이언트가 요청에 유효한 HTTP Host 헤더를 제공하지 않았습니다. 이는 요청을 처리하는 데 필요합니다.

HTTP 호스트 헤더는 서로 다른 커넥터로 들어오는 요청을 구분하는 데 필요합니다. 클라이언트가 필요한 HTTP 호스트 헤더를 제공할 수 없는 경우 AWS Support에 문의하여 지원을 받으세요.

아니요

ValidationException

요청을 디코딩할 수 없습니다. 유효한 SCEP 요청을 보내세요.

서비스는 클라이언트가 보낸 암호화 메시지 구문(CMS) 요청을 디코딩하고 처리할 수 없습니다.

클라이언트가 SCEP 구현에 문제가 있는 경우 응답의 요청 ID(x-amzn-requestid)를 기록하고에 문의하세요AWS Support.

아니요

ValidationException

요청에서 파생된 값으로 응답을 인코딩할 수 없습니다. 유효한 SCEP 요청을 보내세요.

서비스가 SCEP 응답을 인코딩할 수 없었습니다.

이 문제는 일반적으로 서비스가 제공된 요청자 인증서를 사용하여 SCEP 응답 메시지를 올바르게 인코딩할 수 없는 경우에 발생합니다. 예를 들어, 요청자 인증서에 SCEP용 커넥터가 지원하지 않는 타원형 곡선 디지털 서명 알고리즘(ECDSA) 키가 있는 경우이 문제가 발생할 수 있습니다.

이 문제가 발생하면 먼저 MDM를 사용하도록 SCEP 또는 RSA 클라이언트를 구성합니다. 그래도 문제를 해결할 수 없는 경우 응답의 요청 ID(x-amzn-requestid)를 기록해 두고 AWS Support에 문의하여 지원을 받으십시오.

아니요

ValidationException

지원되지 않는 알고리즘: <OID>

요청이 지원되지 않는 암호화 알고리즘에 의해 서명되거나 암호화되었습니다.

당사의 서비스는 특정 구식 및 약한 암호화 알고리즘을 지원하지 않습니다. 이 정보는 GetCACaps 요청을 통해 클라이언트에 전달됩니다. 그러나 일부 클라이언트는이 방법을 사용하여 지원되는 알고리즘을 확인하지 못할 수 있습니다.

클라이언트가 서비스에서 지원하는 암호화 알고리즘과 호환되지 않는 것으로 보이는 경우 AWS Support에 문의하여 지원을 받으세요.

아니요

ValidationException

지원되지 않는 PkiOperation messageTypeWord입니다.

요청 메시지에 잘못된 PkiOperation 메시지 유형이 포함되어 있어 서비스에서 처리할 수 없습니다.

이 서비스는 SCEP 8894에 정의된 RFC 프로토콜 메시지 유형의 하위 집합만 지원합니다. 특히 CertRep, GetCert 및 CertPoll 메시지 유형을 인식하고 처리합니다. PKCSReqCRL

GetCACaps 메서드를 통해 지원되는 메시지 유형을 클라이언트에 전달합니다. 안타깝게도 일부 클라이언트는이 방법을 사용하지 않을 수 있으며 서비스 기능을 준수하지 않을 수 있습니다.

클라이언트가 당사 서비스에서 지원하는 SCEP 메시지 유형과 호환되지 않는 것으로 보이는 경우에 문의하세요AWS Support.

아니요

BadRequestException

챌린지 암호가 유효하지 않습니다.

클라이언트에서 제공한 챌린지 암호가 연결된 서비스 엔드포인트 및 관련 커넥터에 유효하지 않습니다. 챌린지 암호는 권한이 있는 클라이언트만 서비스에 액세스할 수 있도록 SCEP 프로토콜에 정의된 필수 보안 조치입니다.

클라이언트가 요청에 올바른 챌린지 암호를 제공하고 있는지 확인합니다. 콘솔의 커넥터 세부 정보 또는 GetChallengePassword API를 통해 찾을 수 있습니다. 자세한 내용은 2단계: 커넥터 세부 정보를 MDM 시스템에 복사 단원을 참조하십시오.

예

BadRequestException

인증서 서명 요청에 정확히 하나의 챌린지 암호가 필요합니다.

클라이언트는 요청에 0개 또는 여러 개의 챌린지 암호를 제공했습니다.

클라이언트가 요청에 하나의 챌린지 암호를 제공하는지 확인합니다. 콘솔의 커넥터 세부 정보 또는 GetChallengePassword API를 통해 챌린지 암호를 찾을 수 있습니다. 자세한 내용은 2단계: 커넥터 세부 정보를 MDM 시스템에 복사 단원을 참조하십시오.

예

BadRequestException

커넥터는 Azure에 액세스할 수 없습니다.

Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이렇게 하려면 Connector for SCEP가 Azure 리소스에 액세스할 수 있는 권한을 부여해야 합니다.

에 자세히 설명된 권한을 구성합니다1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여.

예

BadRequestException

Azure 애플리케이션은 <action>을 수행할 수 있는 액세스 권한이 없습니다.

Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이렇게 하려면 Connector for SCEP가 Azure 리소스에 액세스할 수 있는 권한을 부여해야 합니다.

에 자세히 설명된 권한을 구성합니다1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여.

예

BadRequestException

Azure 애플리케이션을 찾을 수 없습니다.

Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이 오류는 Microsoft Entra ID에 앱 등록이 없거나 커넥터의 Intune 세부 정보가 잘못 구성되었음을 나타냅니다.

Microsoft Intune for Connector for SCEP 구성 주제의 지침을 따릅니다.

예

BadRequestException

Intune 인증서 서명 요청 검증에 실패했습니다. 이유: <이유>

Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이 오류 메시지는 Intune 검증 프로세스가 실패했으며 해당 Intune 오류 코드가 제공되었음을 나타냅니다.

Microsoft Intune for Connector for SCEP 구성 주제의 지침을 따릅니다. 문제가 지속되면 Microsoft Support에 문의하세요.

예

BadRequestException

지원되지 않는 PkiOperation messageTypeWord: <message type>.

요청 메시지에 잘못된 메시지 유형이 포함되어 있어 서비스에서 처리할 수 없습니다.

이 서비스는 SCEP 8894에 정의된 RFC 프로토콜 메시지 유형의 하위 집합만 지원합니다. 특히 CertRep, GetCert 및 CertPoll 메시지 유형을 인식하고 처리합니다. PKCSReqCRL

GetCACaps 메서드를 통해 지원되는 메시지 유형을 클라이언트에 전달합니다. 안타깝게도 일부 클라이언트는이 방법을 사용하지 않을 수 있으며 서비스 기능을 준수하지 않을 수 있습니다.

클라이언트가 서비스에서 지원하는 SCEP 메시지 유형과 호환되지 않는 것으로 보이는 경우에 문의하세요AWS Support.

예

BadRequestException

키 알고리즘 또는 길이는 지원되지 않습니다.

서비스는 인증서 서명 요청에 포함된 제공된 퍼블릭 키를 지원하지 않습니다.

이 서비스는 최대 16,384비트의 표준 RSA 키와 최대 521비트의 ECDSA 키만 지원합니다. 클라이언트가 현재 지원되지 않는 알고리즘을 사용해야 하는 경우 AWS Support에 문의하여 지원을 받으십시오.

예

AccessDeniedException

커넥터는 인증 기관에 액세스할 수 없습니다.

Connector for SCEP는 커넥터의 연결된 프라이빗 CA에 액세스할 수 없습니다.

를 사용하여 프라이빗 CA를 Connector for SCEP와 공유합니다 AWS Resource Access Manager.

아니요

AccountDoesNotExistException

AWS 계정이 존재하지 않습니다.

Connector for SCEP 리소스가 더 이상 존재하지 않습니다.

대상 리소스를 소유한 계정이 삭제되었습니다. 실수로이 작업을 수행한 경우 종료 후 90일 AWS Support 이내에에 문의하세요.

아니요

ResourceNotFoundException

인증 기관이 존재하지 않습니다.

커넥터의 연결된 프라이빗 CA가 삭제되었습니다.

실수로 삭제된 경우 프라이빗 인증 기관(CA)을 복원할 수 있는 유예 기간이 있습니다. 자세한 내용은 프라이빗 CA 복원 단원을 참조하십시오.

아니요

ResourceNotFoundException

엔드포인트가 <URL>인 커넥터가 존재하지 않습니다.

클라이언트 디바이스가 기존 커넥터에 속하지 않는 URL에 연결을 시도했습니다.

클라이언트가 커넥터에 올바른 엔드포인트를 제공하는지 확인합니다. 커넥터의를 보려면 GetConnector API를 Endpoint호출하거나 콘솔의 커넥터 세부 정보 페이지에서 확인합니다.

아니요

ConflictException

요청이 시작된 이후 커넥터가 변경되었습니다.

커넥터와 연결된 프라이빗 CA가 업데이트되어 SCEP를 통해 클라이언트 디바이스와 통신하는 데 사용되는 커넥터의 내부 인증서가 교체됩니다.

이 인증서 교체로 인해 새 인증서가 배포 중이므로 업데이트 기간 동안 일시적인 문제가 발생할 수 있습니다. 그러나이 오류는 적시에 자동으로 해결해야 합니다.

몇 분 후에 요청을 다시 시도하세요. 문제가 해결되지 않으면 AWS Support에 문의하여 지원을 받으세요.

아니요

ThrottlingException

요청 제한 때문에 요청이 거부되었습니다.

이 커넥터에 너무 많은 요청이 발급되어 일부 요청이 거부됩니다.

이 인증서 교체로 인해 새 인증서가 배포 중이므로 업데이트 기간 동안 일시적인 문제가 발생할 수 있습니다. 그러나이 오류는 적시에 자동으로 해결해야 합니다.

커넥터에 대한 요청 한도를 초과하면 요청이 거부됩니다. 할당량을 늘려야 하는 경우 SCEP 엔드포인트용 커넥터 및 할당량을 참조하세요.

아니요