本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对连接器HTTP中的错误进行故障排除 SCEP
当您的客户端触发用于SCEP数据平面API操作的 Connector 并导致错误时,Connector for 会向请求的客户端SCEP发送包含错误信息的HTTP响应代码。
除了直接向客户提供的服务响应外,您还可以使用显示器连接器 SCEP本节中描述的监控工具来查看和调试导致HTTP错误的错误。
以下是服务向SCEP客户端返回的错误消息、潜在原因以及为解决这些问题可以采取的步骤。
HTTP400 错误的请求
HTTP400 响应代码意味着 Connec SCEP tor for 由于明显的客户端错误(例如请求中缺少数据或数据无效)而无法处理请求。如果错误是由特定于SCEP协议的错误引起的,则 Connector for 将SCEP响应作为二进制文件SCEP包含在消息中。出于以下任何原因,连接器SCEPAPIs可以返回 400 个响应。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括SCEP回应? |
|---|---|---|---|---|
|
LimitExceededException |
已超过证书颁发机构颁发限制。 |
与连接器关联的私有证书颁发机构 (CA) 已超过其可以颁发的证书数量的配额。 |
一个SCEP连接器在其生命周期内只能连接到一个私有 CA。如果您已用尽私有 CA 的限制,请创建新的连接器或申请增加配额。有关私有 CA 配额的更多信息,请参阅AWS Private Certificate Authority 配额。 |
否 |
|
ValidationException |
该请求必须包含 base64。 |
的连接器SCEP无法处理HTTPGET请求,因为正文无效 Base64。 |
如果可能,请将您的客户端配置为使用HTTPPOST消息而不是HTTPGET消息。如果必须使用 HTTPGET,则消息必须使用 Base64 格式。如果您的客户不符合这些要求,请联系AWS Support |
否 |
|
ValidationException |
证书颁发机构未激活。 |
与连接器关联的私有 CA 处于非活动状态。 |
重新激活私有 CA。有关信息,请参阅在中更新私有 CA AWS Private Certificate Authority。 |
否 |
|
ValidationException |
从今天起,证书颁发机构证书的有效期必须至少为一年。 |
从今天起,与通用连接器关联的私有 CA 的有效期必须为一年。 |
从今天起补发有效期超过一年的证书。有关管理证书的信息,请参阅管理私有 CA 生命周期 。 |
否 |
|
ValidationException |
请求中包含的证书已过期。 |
客户端设备在每笔交易中生成的临时证书在服务收到时已过期。 |
很可能是您的客户端设备没有正确配置其时间设置,并且它们正在创建日期晚于实时的证书。如果您无法解决此问题,请联系AWS Support |
否 |
|
ValidationException |
该请求包含无效的加密消息语法。 |
该服务无法解码SCEP请求消息。 |
检查您的SCEP消息是否符合 SCEPRFC889 |
否 |
|
ValidationException |
连接器未激活。 |
连接器的状态为未激活。 |
您可以在控制台或的状态字段中找到连接器的状态API。连接器的状态可以是创建、活动、正在删除或失败。如果状态为创建中,请稍后再试您的请求。如果状态为失败,请查看状态原因以解决问题,然后创建新的连接器。 |
否 |
|
ValidationException |
申请中必须包含有效的证书。 |
客户端请求消息中包含的临时证书要么丢失,要么无效。 |
SCEP兼容的客户端必须提供自签名证书才能对自己进行身份验证。如果您的客户无法提供所需的自签名证书,请联系AWS Support |
否 |
|
ValidationException |
该请求URI无效。 |
的连接器SCEP无法解析请求,因为请求的URI路径或查询无效。 |
管理员应验证客户端设备的配置设置,这些设备通常通过移动设备管理 (MDM) 系统进行管理。有关更多信息,请参阅 步骤 2:将连接器详细信息复制到MDM系统中。 |
否 |
|
ValidationException |
请求中只需要一个主机标头。 |
客户端未在请求中提供有效的 HTTP Host 标头,这是处理请求所必需的。 |
需要使用HTTP主机标头来区分来自不同连接器的请求。如果您的客户无法提供所需的HTTP主机标头,请联系AWS Support |
否 |
|
ValidationException |
无法对请求进行解码。请发送有效的SCEP请求。 |
该服务无法解码和处理您的客户端发送的加密消息语法 (CMS) 请求。 |
如果您的客户在我们实施时遇到问题SCEP,请记下回复中的请求编号 ( |
否 |
|
ValidationException |
无法使用从请求中派生的值对响应进行编码。请发送有效的SCEP请求。 |
该服务无法对SCEP响应进行编码。 |
当服务无法使用提供的请求者证书对SCEP响应消息进行正确编码时,通常会发生此问题。例如,如果请求者证书具有 Elliptic Curve 数字签名算法 (ECDSA) 密钥,而 Connector SCEP 不支持该密钥,则可能会发生这种情况。 如果遇到此问题,请先配置您的MDM或SCEP客户机以使用RSA。如果您仍然无法解决问题,请记下回复中的请求编号 ( |
否 |
|
ValidationException |
不支持的算法:< > OID |
该请求由不支持的加密算法签名或加密。 |
我们的服务不支持某些过时且较弱的加密算法。这些信息通过 如果您的客户似乎与我们的服务支持的加密算法不兼容,请联系AWS Support |
否 |
|
ValidationException |
不支持 PkiOperation messageType。 |
请求消息包含无效的 |
我们的服务仅支持 RFC 8894 中定义的SCEP协议消息类型的子集。具体而言,我们会识别和处理以下消息类型: CertRep、、PKCSReq GetCertCRL、Get 和 CertPoll。 我们通过 G etCACaps 方法向客户端传达支持的消息类型。不幸的是,有些客户可能没有使用这种方法,并且可能不符合我们的服务能力。 如果您的客户似乎与我们的服务支持的SCEP消息类型不兼容,请联系AWS Support |
否 |
|
BadRequestException |
质询密码无效。 |
客户端提供的质询密码对于已联系的服务端点及其关联的连接器无效。质询密码是SCEP协议中定义的一项必需安全措施,以确保只有经过授权的客户端才能访问该服务。 |
请确保您的客户在其请求中提供了正确的质询密码。您可以在控制台的连接器详细信息中或通过GetChallengePasswordAPI。有关更多信息,请参阅 步骤 2:将连接器详细信息复制到MDM系统中。 |
是 |
|
BadRequestException |
证书签名请求中只需要一个质询密码。 |
客户端在其请求中提供了零个或多个质询密码。 |
请确保您的客户在其请求中提供了一个质询密码。您可以在控制台的连接器详细信息中找到质询密码,也可以通过GetChallengePasswordAPI。有关更多信息,请参阅 步骤 2:将连接器详细信息复制到MDM系统中。 |
是 |
|
BadRequestException |
连接器无权访问 Azure。 |
微软 Intune 连接器通过微软 Intune 授权客户请求。这需要你授予连接器SCEP访问你的 Azure 资源的权限。 |
配置权限,详见中第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS Private CA 权限。 |
是 |
|
BadRequestException |
Azure 应用程序没有执行权限<action>。 |
微软 Intune 连接器通过微软 Intune 授权客户请求。这需要你授予连接器SCEP访问你的 Azure 资源的权限。 |
配置权限,详见中第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS Private CA 权限。 |
是 |
|
BadRequestException |
找不到 Azure 应用程序。 |
微软 Intune 连接器通过微软 Intune 授权客户请求。此错误表示你的 Microsoft Entra ID 中没有应用程序注册,或者你的连接器的 Intune 详细信息配置错误。 |
按照为 Connector 配置微软 Intune SCEP主题中的指导进行操作。 |
是 |
|
BadRequestException |
Intune 证书签名请求验证失败。原因:<reason> |
微软 Intune 连接器通过微软 Intune 授权客户请求。此错误消息表明 Intune 验证过程失败,并提供了相应的 Intune 错误代码。 |
按照为 Connector 配置微软 Intune SCEP主题中的指导进行操作。如果问题仍然存在,请联系 Microsoft Support。 |
是 |
|
BadRequestException |
<message type>不支持 PkiOperation messageType:。 |
请求消息包含无效的消息类型,因此服务无法处理。 |
我们的服务仅支持 RFC 8894 中定义的SCEP协议消息类型的子集。具体而言,我们会识别和处理以下消息类型: CertRep、、PKCSReq GetCertCRL、Get 和 CertPoll。 我们通过 G etCACaps 方法向客户端传达支持的消息类型。不幸的是,有些客户可能没有使用这种方法,并且可能不符合我们的服务能力。 如果您的客户似乎与我们的服务支持的SCEP消息类型不兼容,请联系AWS Support |
是 |
|
BadRequestException |
不支持密钥算法或长度。 |
该服务不支持证书签名请求中包含的提供的公钥。 |
我们的服务仅支持最多 16,384 位的标准RSA密钥和最大 521 位的ECDSA密钥。如果您的客户需要使用当前不支持的算法,请联系AWS Support |
是 |
HTTP401 未经授权
401 未授权响应状态代码指示客户端请求尚未完成,因为该请求缺少所请求资源的有效身份验证凭证。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括SCEP回应? |
|---|---|---|---|---|
|
AccessDeniedException |
连接器无权访问证书颁发机构。 |
的连接器SCEP无权访问连接器的关联私有 CA。 |
与连接器共享您的私有 CA 以供SCEP使用 AWS Resource Access Manager。 |
否 |
|
AccountDoesNotExistException |
该 AWS 账户不存在。 |
SCEP资源连接器已不存在。 |
拥有目标资源的账户已被删除。如果这是错误的,请在关闭后的 90 天AWS Support |
否 |
HTTP404 未找到
HTTP404 响应码通常意味着找不到您要查找的资源。
| 响应标头 (x-amzn-ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括SCEP回应? |
|---|---|---|---|---|
|
ResourceNotFoundException |
证书颁发机构不存在。 |
连接器的关联私有 CA 已被删除。 |
如果私有证书颁发机构 (CA) 被误删除,则可以在宽限期内将其恢复。有关更多信息,请参阅 恢复私有 CA。 |
否 |
|
ResourceNotFoundException |
端点为 < URL > 的连接器不存在。 |
客户端设备已尝试连接到不URL属于任何现有连接器的。 |
确保您的客户端为连接器提供了正确的端点。要查看连接器 |
否 |
HTTP409 冲突
HTTP409 Conflict 响应表示自请求发起以来,与连接器关联的私有 CA 已更改。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括SCEP回应? |
|---|---|---|---|---|
|
ConflictException |
自请求发起以来,连接器已更改。 |
与连接器关联的私有 CA 已更新,从而触发连接器内部证书的轮换,该证书用于通过与客户端设备通信SCEP。 在部署新证书时,这种证书轮换可能会在更新期间导致临时问题。但是,应及时自动解决此错误。 |
几分钟后重试您的请求。如果问题仍未解决,请联系AWS Support |
否 |
HTTP429 请求太多
的连接器在每个区域SCEP都有账户级别的配额。如果您超过了对连接器的请求限制,则您的请求将被拒绝,错误为 HTTP 429。如果您需要增加配额,请参阅AWS Private Certificate Authority 终端节点和配额。
| 响应标头 (x-amzn-) ErrorType | 错误消息 (x-amzn-) ErrorMessage | 根本原因 | 修复 | 包括SCEP回应? |
|---|---|---|---|---|
|
ThrottlingException |
由于请求限制而导致请求被拒绝。 |
已向此 Connector 发出的请求过多,导致某些请求被拒绝。 在部署新证书时,这种证书轮换可能会在更新期间导致临时问题。但是,应及时自动解决此错误。 |
如果您超过了对连接器的请求限制,则您的请求将被拒绝。如果您需要增加配额,请参阅 Connecto r 了解SCEP终端节点和配额。 |
否 |
