As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solucionar HTTP erros do Connector for SCEP
Quando seu cliente aciona uma API ação do Connector for SCEP dataplane e isso resultar em um erro, o Connector for SCEP envia um código de HTTP resposta ao cliente solicitante com informações sobre o erro.
Além das respostas de serviço fornecidas diretamente aos seus clientes, você pode usar as ferramentas de monitoramento descritas na Conector de monitor para SCEP seção para visualizar e depurar erros que resultam em HTTP erros.
A seguir estão as mensagens de erro retornadas pelo serviço aos SCEP clientes, as possíveis causas e as etapas que você pode seguir para resolver os problemas.
HTTP400 Solicitação inválida
Um código de resposta HTTP 400 significa que o Connector for não SCEP pode processar a solicitação devido a um aparente erro do cliente, como dados ausentes ou inválidos na solicitação. Se o erro resultar de um erro específico de SCEP -protocol, o Connector for SCEP incluirá a SCEP resposta como um binário na mensagem. O Connector for SCEP APIs pode retornar 400 respostas por qualquer um dos motivos a seguir.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui SCEP resposta? |
|---|---|---|---|---|
|
LimitExceededException |
Limite de emissão da autoridade certificadora excedido. |
A autoridade de certificação (CA) privada associada ao conector excedeu sua cota para o número de certificados que pode emitir. |
Um SCEP conector só pode ser conectado a uma CA privada durante sua vida útil. Se você esgotou os limites da sua CA privada, crie um novo conector ou solicite um aumento de cota. Para obter mais informações sobre cotas privadas de CA, consulte AWS Private Certificate Authority cotas. |
Não |
|
ValidationException |
A solicitação deve conter base64. |
O conector for não SCEP pode processar a HTTP GET solicitação porque o corpo não é Base64 válido. |
Se possível, configure seus clientes para usar HTTP POST mensagens em vez de HTTP GET mensagens. Se você precisar usar HTTPGET, as mensagens devem usar o formato Base64. Se seus clientes forem incompatíveis com esses requisitos, entre em contato AWS Support |
Não |
|
ValidationException |
A autoridade de certificação não está ativa. |
A CA privada associada ao conector está inativa. |
Reative a CA privada. Para ter mais informações, consulte Atualizar uma CA privada em AWS Private Certificate Authority. |
Não |
|
ValidationException |
A validade do certificado da autoridade certificadora deve ser de pelo menos um ano a partir de hoje. |
A CA privada associada ao conector de uso geral deve ter um período de validade de um ano a partir de hoje. |
Reemita o certificado com um período de validade superior a um ano a partir de hoje. Para obter informações sobre o gerenciamento de certificados, consulteGerencie o ciclo de vida privado da CA . |
Não |
|
ValidationException |
O certificado incluído na solicitação expirou. |
O certificado transitório gerado pelo dispositivo do cliente em cada transação expirou na recepção pelo serviço. |
É muito provável que seus dispositivos cliente não tenham suas configurações de horário configuradas corretamente e estejam criando certificados com datas atrasadas em relação ao tempo real. Se você não conseguir resolver esse problema, entre em contato AWS Support |
Não |
|
ValidationException |
A solicitação contém uma sintaxe de mensagem criptográfica inválida. |
O serviço não conseguiu decodificar a mensagem de SCEP solicitação. |
Verifique se suas SCEP mensagens estão em conformidade com a sintaxe de mensagens criptográficas definida em 8894. SCEP RFC |
Não |
|
ValidationException |
O conector não está ativo. |
O status do conector não está ativo. |
Você pode encontrar o status de um conector no console ou no campo Status noAPI. O status de um conector pode ser criação, ativação, exclusão ou falha. Se o status estiver sendo criado, tente sua solicitação mais tarde. Se o status falhar, veja o motivo do status para solucionar o problema e, em seguida, crie um novo conector. |
Não |
|
ValidationException |
Deve haver um certificado válido incluído na solicitação. |
O certificado transitório incluído na mensagem de solicitação do cliente estava ausente ou era inválido. |
SCEP-os clientes compatíveis devem fornecer um certificado autoassinado para se autenticarem. Se seu cliente não conseguir fornecer o certificado autoassinado necessário, entre em contato AWS Support |
Não |
|
ValidationException |
A solicitação URI é inválida. |
O conector for não SCEP pode analisar a solicitação porque o URI caminho ou a consulta da solicitação são inválidos. |
Os administradores devem verificar as configurações dos dispositivos cliente, que normalmente são gerenciados por meio de um sistema de Gerenciamento de Dispositivos Móveis (MDM). Para obter mais informações, consulte Etapa 2: Copiar os detalhes do conector em seu MDM sistema. |
Não |
|
ValidationException |
É necessário exatamente um cabeçalho de host na solicitação. |
O cliente não forneceu um cabeçalho HTTP Host válido na solicitação, o que é necessário para que a solicitação seja processada. |
O cabeçalho do HTTP host é necessário para distinguir as solicitações que chegam a conectores diferentes. Se seu cliente não conseguir fornecer o cabeçalho de HTTP host necessário, entre em contato AWS Support |
Não |
|
ValidationException |
A solicitação não pôde ser decodificada. Por favor, envie uma SCEP solicitação válida. |
O serviço não conseguiu decodificar e processar a solicitação Cryptographic Message Syntax (CMS) enviada pelo seu cliente. |
Se seus clientes estão tendo problemas com nossa implementação doSCEP, anote o ID da solicitação ( |
Não |
|
ValidationException |
A resposta não pôde ser codificada com valores derivados da solicitação. Por favor, envie uma SCEP solicitação válida. |
O serviço não conseguiu codificar a SCEP resposta. |
Esse problema geralmente ocorre quando o serviço não consegue usar o certificado de solicitante fornecido para codificar adequadamente a mensagem de resposta. SCEP Isso pode acontecer, por exemplo, se o certificado do solicitante tiver uma chave Elliptic Curve Digital Signature Algorithm (ECDSA), para SCEP a qual o Connector não é compatível. Se você encontrar esse problema, primeiro configure seu MDM ou o SCEP cliente para usarRSA. Se você ainda não conseguir resolver o problema, anote o ID da solicitação ( |
Não |
|
ValidationException |
Algoritmo não suportado: < > OID |
A solicitação foi assinada ou criptografada por um algoritmo criptográfico não suportado. |
Nosso serviço não oferece suporte a determinados algoritmos criptográficos desatualizados e fracos. Essas informações são comunicadas aos clientes por meio da Se seus clientes parecerem incompatíveis com os algoritmos criptográficos suportados por nosso serviço, entre em contato AWS Support |
Não |
|
ValidationException |
Não suportado PkiOperation messageType. |
A mensagem de solicitação continha um tipo de |
Nosso serviço suporta somente um subconjunto dos tipos de mensagens de SCEP protocolo definidos no RFC 8894. Especificamente, reconhecemos e processamos os seguintes tipos de mensagem: CertRepPKCSReq, GetCert,CRL, Get CertPoll e. Comunicamos os tipos de mensagens compatíveis aos clientes por meio do etCACaps método G. Infelizmente, alguns clientes podem não estar utilizando esse método e podem não estar em conformidade com os recursos do nosso serviço. Se seus clientes parecerem incompatíveis com os tipos de SCEP mensagem suportados pelo nosso serviço, entre em contato AWS Support |
Não |
|
BadRequestException |
A senha do desafio é inválida. |
A senha de desafio fornecida pelo cliente era inválida para o endpoint de serviço contatado e seu conector associado. A senha de desafio é uma medida de segurança necessária definida no SCEP protocolo para garantir que somente clientes autorizados possam acessar o serviço. |
Certifique-se de que seu cliente esteja fornecendo a senha de desafio correta em sua solicitação. Você pode encontrar nos detalhes do conector no console ou por meio do GetChallengePasswordAPI. Para obter mais informações, consulte Etapa 2: Copiar os detalhes do conector em seu MDM sistema. |
Sim |
|
BadRequestException |
É necessária exatamente uma senha de desafio na solicitação de assinatura do certificado. |
O cliente forneceu zero ou várias senhas de desafio em sua solicitação. |
Certifique-se de que seu cliente esteja fornecendo uma senha de desafio em sua solicitação. Você pode encontrar senhas de desafio nos detalhes do conector no console ou por meio do GetChallengePasswordAPI. Para obter mais informações, consulte Etapa 2: Copiar os detalhes do conector em seu MDM sistema. |
Sim |
|
BadRequestException |
O conector não tem acesso ao Azure. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Isso requer que você conceda permissão ao Connector SCEP para acessar seus recursos do Azure. |
Configure as permissões detalhadas emEtapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra ID. |
Sim |
|
BadRequestException |
O aplicativo Azure não tem acesso para executar<action>. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Isso requer que você conceda permissão ao Connector SCEP para acessar seus recursos do Azure. |
Configure as permissões detalhadas emEtapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra ID. |
Sim |
|
BadRequestException |
O aplicativo Azure não foi encontrado. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Esse erro indica que você não tem um registro de aplicativo em seu Microsoft Entra ID ou que os detalhes do Intune do seu conector estão configurados incorretamente. |
Siga as orientações do Configurar o Microsoft Intune for Connector para SCEP tópico. |
Sim |
|
BadRequestException |
Falha na validação da solicitação de assinatura do certificado do Intune. Motivo: <reason> |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Essa mensagem de erro indica que o processo de validação do Intune falhou e o código de erro correspondente do Intune foi fornecido. |
Siga as orientações do Configurar o Microsoft Intune for Connector para SCEP tópico. Se o problema persistir, entre em contato com o Suporte da Microsoft. |
Sim |
|
BadRequestException |
<message type>Não suportado PkiOperation messageType:. |
A mensagem de solicitação continha um tipo de mensagem inválido e não pôde ser processada pelo serviço. |
Nosso serviço suporta somente um subconjunto dos tipos de mensagens de SCEP protocolo definidos no RFC 8894. Especificamente, reconhecemos e processamos os seguintes tipos de mensagem: CertRepPKCSReq, GetCert,CRL, Get CertPoll e. Comunicamos os tipos de mensagens compatíveis aos clientes por meio do etCACaps método G. Infelizmente, alguns clientes podem não estar utilizando esse método e podem não estar em conformidade com os recursos do nosso serviço. Se seus clientes parecerem incompatíveis com os tipos de SCEP mensagem suportados pelo nosso serviço, entre em contato AWS Support |
Sim |
|
BadRequestException |
O algoritmo ou o comprimento da chave não são suportados. |
O serviço não oferece suporte à chave pública fornecida incluída na solicitação de assinatura do certificado. |
Nosso serviço suporta apenas RSA chaves padrão de até 16.384 bits e ECDSA chaves de até 521 bits. Se seus clientes precisarem do uso de um algoritmo atualmente não suportado, entre em contato AWS Support |
Sim |
HTTP401 Não autorizado
Um código de status de resposta “401 Não autorizado” indica que a solicitação do cliente não foi concluída porque não tem credenciais de autenticação válidas para o recurso solicitado.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui SCEP resposta? |
|---|---|---|---|---|
|
AccessDeniedException |
O conector não tem acesso à autoridade de certificação. |
O conector para SCEP não tem acesso à CA privada associada ao conector. |
Compartilhe sua CA privada com o Conector para SCEP uso AWS Resource Access Manager. |
Não |
|
AccountDoesNotExistException |
A AWS conta não existe. |
O conector para o SCEP recurso não existe mais. |
A conta proprietária do recurso de destino foi excluída. Se isso foi feito por engano, entre em contato AWS Support |
Não |
HTTP404 Não encontrado
Um código de resposta HTTP 404 geralmente significa que o recurso que você estava procurando não foi encontrado.
| Cabeçalho de resposta (x-amzn- ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui SCEP resposta? |
|---|---|---|---|---|
|
ResourceNotFoundException |
A autoridade de certificação não existe. |
A CA privada associada ao conector foi excluída. |
Há um período de carência durante o qual uma Autoridade Certificadora (CA) privada pode ser restaurada caso tenha sido excluída por engano. Para obter mais informações, consulte Restaurar uma CA privada. |
Não |
|
ResourceNotFoundException |
Não existe um conector com endpoint < URL >. |
O dispositivo cliente tentou se conectar a um URL que não pertence a nenhum conector existente. |
Certifique-se de que seu cliente esteja fornecendo o endpoint correto para o conector. Para ver o conector |
Não |
HTTP409 Conflito
Uma resposta HTTP 409 Conflict sinaliza que uma CA privada associada a um conector foi alterada desde que a solicitação foi iniciada.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui SCEP resposta? |
|---|---|---|---|---|
|
ConflictException |
O conector mudou desde que a solicitação foi iniciada. |
A CA privada associada ao conector foi atualizada, acionando uma rotação do certificado interno do conector usado para comunicação com dispositivos clientes via. SCEP Essa rotação de certificados pode resultar em problemas temporários durante o período de atualização, à medida que o novo certificado está sendo implantado. No entanto, esse erro deve ser resolvido automaticamente em tempo hábil. |
Tente fazer sua solicitação novamente em alguns minutos. Se o problema não for resolvido, entre em contato AWS Support |
Não |
HTTP429 Solicitações demais
O Connector for SCEP tem cotas em nível de conta, por região. Se você exceder o limite de solicitações para um conector, suas solicitações serão negadas com um erro HTTP 429. Se você precisar aumentar sua cota, consulte AWS Private Certificate Authority endpoints e cotas.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui SCEP resposta? |
|---|---|---|---|---|
|
ThrottlingException |
A solicitação foi negada devido à limitação da solicitação. |
Muitas solicitações foram emitidas para esse conector, fazendo com que algumas solicitações fossem negadas. Essa rotação de certificados pode resultar em problemas temporários durante o período de atualização, à medida que o novo certificado está sendo implantado. No entanto, esse erro deve ser resolvido automaticamente em tempo hábil. |
Se você exceder o limite de solicitações para um conector, suas solicitações serão negadas. Se você precisar aumentar sua cota, consulte Conector para SCEP endpoints e cotas. |
Não |
