從 Connector for HTTP 疑難排解 SCEP 錯誤

LimitExceededException

超過憑證授權單位發行限制。

與連接器相關聯的私有憑證授權機構 (CA) 已超過其可發行的憑證數量配額。

SCEP 連接器在整個生命週期內只能連接到一個私有 CA。如果您已用盡私有 CA 的限制，請建立新的連接器或請求增加配額。如需私有 CA 配額的詳細資訊，請參閱AWS Private Certificate Authority 配額。

否

ValidationException

請求必須包含 base64。

SCEP 的連接器無法處理 HTTP GET請求，因為內文不是有效的 Base64。

如果可能，請將用戶端設定為使用 HTTP POST 訊息，而非 HTTP GET 訊息。如果您必須使用 HTTP GET，訊息必須使用 Base64 格式。如果您的用戶端與這些要求不相容，請聯絡 AWS Support 尋求協助。

否

ValidationException

憑證授權機構未處於作用中狀態。

與連接器相關聯的私有 CA 處於非作用中狀態。

重新啟用私有 CA。如需相關資訊，請參閱 在 中更新私有 CA AWS Private Certificate Authority。

否

ValidationException

憑證授權機構憑證有效性必須至少為從今天起算一年。

與一般用途連接器相關聯的私有 CA 必須具有從今天起算一年的有效期。

從今天開始，重新發行有效期大於一年的憑證。如需管理憑證的資訊，請參閱 管理私有 CA 生命週期 。

否

ValidationException

請求中包含的憑證已過期。

服務接收時，用戶端裝置在每個交易上產生的暫時性憑證已過期。

您的用戶端裝置很可能未正確設定時間設定，而且正在建立日期晚於即時的憑證。如果您無法解決此問題，請聯絡 AWS Support 尋求協助。

否

ValidationException

請求包含無效的密碼編譯訊息語法。

服務無法解碼 SCEP 請求訊息。

檢查您的 SCEP 訊息是否符合 SCEP RFC8894 中定義的密碼編譯訊息語法。如果您無法解決此問題，請聯絡 AWS Support 尋求協助。

否

ValidationException

連接器未啟用。

連接器的狀態為非作用中。

您可以在主控台或 API 中的狀態欄位中找到連接器的狀態。連接器的狀態可以是建立、作用中、刪除或失敗。如果正在建立狀態，請稍後嘗試您的請求。如果狀態失敗，請檢視疑難排解問題的狀態原因，然後建立新的連接器。

否

ValidationException

請求中必須包含有效的憑證。

來自用戶端的請求訊息中包含的暫時性憑證遺失或無效。

SCEP 相容用戶端必須提供自我簽署憑證才能進行自我驗證。如果您的用戶端無法提供所需的自我簽署憑證，請聯絡 AWS Support 尋求協助。

否

ValidationException

請求 URI 無效。

SCEP 的連接器無法剖析請求，因為請求的 URI 路徑或查詢無效。

管理員應驗證用戶端裝置的組態設定，通常透過行動裝置管理 (MDM) 系統進行管理。如需詳細資訊，請參閱「步驟 2：將連接器詳細資訊複製到您的 MDM 系統」。

否

ValidationException

請求中需要一個主機標頭。

用戶端未在請求中提供有效的 HTTP 主機標頭，這是處理請求所需的。

需要 HTTP 主機標頭才能區分來自不同連接器的請求。如果您的用戶端無法提供所需的 HTTP 主機標頭，請聯絡 AWS Support 尋求協助。

否

ValidationException

無法解碼請求。請傳送有效的 SCEP 請求。

服務無法解碼和處理用戶端傳送的加密訊息語法 (CMS) 請求。

如果您的用戶端在實作 SCEP 時遇到問題，請記下回應中的請求 ID (x-amzn-requestid)，並聯絡 AWS Support。

否

ValidationException

回應無法使用從請求衍生的值進行編碼。請傳送有效的 SCEP 請求。

服務無法編碼 SCEP 回應。

當服務無法使用提供的請求者憑證來正確編碼 SCEP 回應訊息時，通常會發生此問題。例如，如果請求者憑證具有 Elliptic Curve 數位簽章演算法 (ECDSA) 金鑰，則 SCEP 的連接器不支援，就可能會發生這種情況。

如果您遇到此問題，請先將 MDM 或 SCEP 用戶端設定為使用 RSA。如果您仍然無法解決問題，請記下回應中的請求 ID (x-amzn-requestid)，並聯絡 AWS Support 尋求協助。

否

ValidationException

不支援的演算法：＜OID＞

請求已由不支援的密碼編譯演算法簽署或加密。

我們的服務不支援特定過時且較弱的加密演算法。此資訊會透過GetCACaps請求傳達給用戶端。不過，有些用戶端可能無法使用此方法檢查支援的演算法。

如果您的用戶端似乎與我們的服務支援的密碼編譯演算法不相容，請聯絡 AWS Support 尋求協助。

否

ValidationException

不支援的 PkiOperation messageTypeWord。

請求訊息包含無效的PkiOperation訊息類型，且服務無法處理。

我們的服務僅支援 SCEP 8894 中定義的 RFC 通訊協定訊息類型的子集。具體而言，我們識別並處理下列訊息類型： CertRep、PKCSReq、 GetCert、GetCRL 和 CertPoll。

我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。遺憾的是，有些用戶端可能並未使用此方法，而且可能不符合我們服務的功能。

如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容，請聯絡 AWS Support。

否

BadRequestException

挑戰密碼無效。

用戶端提供的挑戰密碼對於已聯絡的服務端點及其相關聯的連接器無效。挑戰密碼是 SCEP 通訊協定中定義的必要安全措施，以確保只有授權的用戶端才能存取 服務。

請確定您的用戶端在其請求中提供正確的挑戰密碼。您可以在主控台的連接器詳細資訊中或透過 GetChallengePassword API 。如需詳細資訊，請參閱「步驟 2：將連接器詳細資訊複製到您的 MDM 系統」。

是

BadRequestException

憑證簽署請求中需要一個挑戰密碼。

用戶端在其請求中提供零或多個挑戰密碼。

確保您的用戶端在其請求中提供一組挑戰密碼。您可以在主控台或透過 GetChallengePassword 找到連接器的詳細資訊。 API如需詳細資訊，請參閱「步驟 2：將連接器詳細資訊複製到您的 MDM 系統」。

是

BadRequestException

連接器無法存取 Azure。

Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。

設定 中詳述的許可步驟 1：授予使用 Microsoft Entra ID 應用程式的 AWS Private CA 許可。

是

BadRequestException

Azure 應用程式沒有執行 <action> 的存取權。

Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。

設定 中詳述的許可步驟 1：授予使用 Microsoft Entra ID 應用程式的 AWS Private CA 許可。

是

BadRequestException

找不到 Azure 應用程式。

Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤表示您的 Microsoft Entra ID 中沒有應用程式註冊，或連接器的 Intune 詳細資訊設定錯誤。

請遵循設定 Microsoft Intune for Connector for SCEP主題中的指引。

是

BadRequestException

Intune 憑證簽署請求驗證失敗。原因：<reason>

Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤訊息表示 Intune 驗證程序失敗，並提供對應的 Intune 錯誤碼。

請遵循設定 Microsoft Intune for Connector for SCEP主題中的指引。如果您的問題仍然存在，請聯絡 Microsoft Support。

是

BadRequestException

不支援的 PkiOperation messageTypeWord：＜訊息類型＞。

請求訊息包含無效的訊息類型，且服務無法處理。

我們的服務僅支援 SCEP 8894 中定義的 RFC 通訊協定訊息類型的子集。具體而言，我們識別並處理下列訊息類型： CertRep、PKCSReq、 GetCert、GetCRL 和 CertPoll。

我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。遺憾的是，有些用戶端可能並未使用此方法，而且可能不符合我們服務的功能。

如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容，請聯絡 AWS Support。

是

BadRequestException

不支援金鑰演算法或長度。

服務不支援憑證簽署請求中包含的提供的公有金鑰。

我們的服務最多僅支援 16，384 位元的標準 RSA 金鑰，以及最多 521 位元的 ECDSA 金鑰。如果您的用戶端需要使用目前不支援的演算法，請聯絡 AWS Support 尋求協助。

是

AccessDeniedException

連接器無法存取憑證授權單位。

連接器 for SCEP 無法存取連接器相關聯的私有 CA。

使用 Connector for SCEP 共用您的私有 CA AWS Resource Access Manager。

否

AccountDoesNotExistException

AWS 帳戶不存在。

Connector for SCEP 資源不再存在。

擁有目標資源的帳戶已刪除。如果這是錯誤造成的，AWS Support請在關閉後 90 天內聯絡 。

否

ResourceNotFoundException

憑證授權機構不存在。

連接器的關聯私有 CA 已刪除。

有一個寬限期，在此期間，如果誤刪除私有憑證授權單位 (CA)，則可以還原。如需詳細資訊，請參閱「還原私有 CA」。

否

ResourceNotFoundException

不存在具有端點 <URL> 的連接器。

用戶端裝置已嘗試連線至不屬於任何現有連接器的 URL。

請確定您的用戶端為連接器提供正確的端點。若要檢視連接器的 Endpoint，請呼叫 GetConnector API或在主控台的連接器詳細資訊頁面中檢視。

否

ConflictException

連接器自啟動請求以來已變更。

與連接器相關聯的私有 CA 已更新，觸發透過 SCEP 與用戶端裝置通訊的連接器內部憑證輪換。

由於正在部署新憑證，此憑證輪換可能會導致更新期間發生暫時性問題。不過，此錯誤應及時自動解決。

請在幾分鐘後再次嘗試您的請求。如果問題未解決，請聯絡 AWS Support 尋求協助。

否

ThrottlingException

由於請求調節，因此請求遭到拒絕。

已向此連接器發出太多請求，觸發一些請求遭到拒絕。

由於正在部署新憑證，此憑證輪換可能會導致更新期間發生暫時性問題。不過，此錯誤應及時自動解決。

如果您超過對連接器的請求限制，您的請求將遭到拒絕。如果您需要增加配額，請參閱 Connector for SCEP 端點和配額。

否