对 SCEP 客户端错误进行连接器故障排除

聚焦模式

对 SCEP 客户端错误进行连接器故障排除 - AWS Private Certificate Authority

使用以下指南对与 SCEP 连接器相关的客户端错误进行故障排除。

消息示例	根本原因	解决方案
不支持 ECDSA 密钥	连接器连接到使用 ECDSA 密钥而不是 RSA 的私有 CA。虽然此服务支持 ECDSA 密钥，但并非所有客户端设备都与该算法兼容。	考虑使用 RSA 加密的私有 CA 而不是 ECDSA。如果您创建使用 RSA 的私有 CA，则还需要创建一个新的连接器。一个连接器在其生命周期内只能绑定到一个私有 CA。
加密或签名证书不存在	根据 RFC 8894，SCEP 服务将中间 CA 证书返回给客户端。作为 SCEP 协议的一部分，客户端使用这些证书来执行加密和签名验证操作。 SCEP 连接器使用相同的证书进行加密和签名验证，这是一种常见的方法。但是，有些客户可能希望改为使用两个单独的证书。	如果您无法使用兼容的客户端，请联系AWS 支持寻求帮助。

消息示例

根本原因

解决方案

不支持 ECDSA 密钥

连接器连接到使用 ECDSA 密钥而不是 RSA 的私有 CA。虽然此服务支持 ECDSA 密钥，但并非所有客户端设备都与该算法兼容。

考虑使用 RSA 加密的私有 CA 而不是 ECDSA。如果您创建使用 RSA 的私有 CA，则还需要创建一个新的连接器。一个连接器在其生命周期内只能绑定到一个私有 CA。

加密或签名证书不存在

根据 RFC 8894，SCEP 服务将中间 CA 证书返回给客户端。作为 SCEP 协议的一部分，客户端使用这些证书来执行加密和签名验证操作。

SCEP 连接器使用相同的证书进行加密和签名验证，这是一种常见的方法。但是，有些客户可能希望改为使用两个单独的证书。

如果您无法使用兼容的客户端，请联系AWS 支持寻求帮助。