Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Probleme beheben mit AWS Private Certificate Authority
<a name="PcaTsIntro"></a>

Wenn Sie Probleme mit der Verwendung von AWS Private Certificate Authority haben, lesen Sie in den folgenden Themen nach.

**Topics**
+ [Probleme beim Widerruf von Zertifikaten](troubleshoot-certificate-revocation.md)
+ [Ausnahmemeldungen](PCATsExceptions.md)
+ [Matter-konforme Zertifikatsfehler](TroubleshootPcaMatter.md)

# Probleme mit dem Widerruf von AWS Private CA Zertifikaten beheben
<a name="troubleshoot-certificate-revocation"></a>

## Latenz bei der OCSP-Antwort
<a name="OCSP-latency-troubleshooting"></a>

Die OCSP-Reaktionszeit kann langsamer sein, wenn der Anrufer geografisch weit von einem regionalen Edge-Cache oder von der Region der ausstellenden Zertifizierungsstelle entfernt ist. [Weitere Informationen zur regionalen Edge-Cache-Verfügbarkeit finden Sie unter Globales Edge-Netzwerk.](https://aws.amazon.com/cloudfront/details#Global_Edge_Network) Wir empfehlen, Zertifikate in einer Region auszustellen, in der sie verwendet werden.

## Widerruf von selbstsignierten Zertifikaten
<a name="PcaRevokeSelfSigned"></a>

Sie können ein selbstsigniertes CA-Zertifikat nicht widerrufen. Um das Zertifikat funktionell zu widerrufen, löschen Sie die CA.

# Beheben Sie AWS Private Certificate Authority Ausnahmemeldungen
<a name="PCATsExceptions"></a>

Ein AWS Private CA Befehl kann aus verschiedenen Gründen fehlschlagen. Informationen zu den einzelnen Ausnahmen und Lösungsempfehlungen finden Sie in der folgenden Tabelle.


**AWS Private CA Ausnahmen**  

|  Ausnahme Zurückgegeben von AWS Private CA  | Description | Abhilfe | 
| --- | --- | --- | 
|  <a name="AccessDeniedException"></a>`AccessDeniedException`  | Die für die Verwendung des angegebenen Befehls erforderlichen Berechtigungen wurden nicht von einer privaten Zertifizierungsstelle an das den Aufruf durchführende Konto delegiert. |  Informationen zum Delegieren von Berechtigungen in finden Sie AWS Private CA unter[Weisen Sie ACM Berechtigungen zur Zertifikatsverlängerung zu](assign-permissions.md#PcaPermissions).  | 
|  <a name="InvalidArgsException"></a>`InvalidArgsException`  | Eine Zertifikaterstellungs- oder -erneuerungsanforderung mit ungültigen Parametern wurde gestellt. | Überprüfen Sie in der jeweiligen Dokumentation des Befehls, ob Ihre Eingabeparameter gültig sind. Wenn Sie ein neues Zertifikat erstellen, stellen Sie sicher, dass der angeforderte Signaturalgorithmus mit dem Schlüsseltyp der CA verwendet werden kann. | 
|  <a name="InvalidStateException"></a>`InvalidStateException`  | Die zugeordnete private Zertifizierungsstelle kann das Zertifikat nicht erneuern, da es sich nicht im Zustand ACTIVE befindet. | Versuchen Sie, [Ihre private Zertifizierungsstelle wiederherzustellen](PCARestoreCA.md). Wenn sich die private Zertifizierungsstelle außerhalb des Wiederherstellungszeitraums befindet, kann die Zertifizierungsstelle nicht wiederhergestellt und das Zertifikat kann nicht erneuert werden. | 
|  <a name="LimitExceededException"></a>`LimitExceededException`  | Jede Zertifizierungsstelle (CA) verfügt über eine bestimmte Anzahl von Zertifikaten, die sie ausstellen kann. Die private Zertifizierungsstelle, die dem angegebenen Zertifikat zugeordnet ist, hat ihr Kontingent erreicht. Weitere Informationen finden Sie im Allgemeine AWS-Referenz Handbuch unter [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). | Wenden Sie sich an das [AWS Support Center](https://aws.amazon.com/premiumsupport/), um eine Erhöhung des Kontingents zu beantragen. | 
|  <a name="MalformedCSRException"></a>`MalformedCSRException`  | Die Zertifikatsignieranforderung (Certificate Signing Request, CSR), die an AWS Private CA gesendet wurde, kann nicht überprüft oder validiert werden. | Vergewissern Sie sich, dass Ihre CSR ordnungsgemäß generiert und konfiguriert wurde.  | 
|  `OtherException`  | Die Anforderung ist aufgrund eines internen Fehlers fehlgeschlagen. | Versuchen Sie erneut, den Befehl auszuführen. Wenn das Problem weiterhin besteht, wenden Sie sich an das [AWS Support Center](https://aws.amazon.com/premiumsupport/). | 
|  <a name="RequestFailedException"></a>`RequestFailedException`  |  Ein Netzwerkproblem in Ihrer AWS Umgebung hat dazu geführt, dass die Anfrage fehlschlug.  |  Wiederholen Sie die Anforderung. Wenn der Fehler weiterhin besteht, überprüfen Sie Ihre [Amazon VPC (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) -Konfiguration.  | 
|  <a name="ResourceNotFoundException"></a>`ResourceNotFoundException`  |  Die private Zertifizierungsstelle, die das Zertifikat ausgestellt hat, wurde gelöscht und ist nicht mehr vorhanden.  |  Fordern Sie ein neues Zertifikat von einer anderen aktiven Zertifizierungsstelle an.  | 
|  <a name="ThrottlingException"></a>`ThrottlingException`  | Eine angeforderte API-Aktion ist fehlgeschlagen, da sie ein Kontingent überschritten hat. |  Vergewissern Sie sich, dass Sie nicht mehr Anrufe tätigen als zulässig. AWS Private CA Ein `ThrottlingException` Fehler kann auch auftreten, weil Sie auf einen vorübergehenden Zustand gestoßen sind und nicht auf eine Überschreitung des Kontingents zurückzuführen sind. Wenn der Fehler auftritt und Sie keine Anrufe getätigt haben, die das Kontingent überschritten haben, versuchen Sie es erneut mit Ihrer Anfrage. Wenn Ihr Kontingent ausgeschöpft ist, können Sie möglicherweise eine Erhöhung beantragen. Weitere Informationen finden Sie im Allgemeine AWS-Referenz Handbuch unter [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).  | 
|  <a name="ValidationException"></a>`ValidationException`  |  Die Eingabeparameter der Anforderung waren falsch formatiert, oder die Gültigkeitsdauer des Stammzertifikats endet vor der Gültigkeitsdauer des angeforderten Zertifikats.  |  Überprüfen Sie die Syntaxanforderungen der Eingabeparameter des Befehls sowie den Gültigkeitszeitraum des Stammzertifikats Ihrer Zertifizierungsstelle. Weitere Informationen zum Ändern des Gültigkeitszeitraums finden Sie unter [Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority](PCAUpdateCA.md).  | 

# Beheben Sie AWS Private CA Matter-konforme Zertifikatsfehler
<a name="TroubleshootPcaMatter"></a>

Der [Matter-Konnektivitätsstandard](https://github.com/project-chip/connectedhomeip) spezifiziert Zertifikatskonfigurationen, die die Sicherheit und Konsistenz von IoT-Geräten (Internet of Things) verbessern. Java-Beispiele für die Erstellung von Matter-konformen Root-CA-, Zwischen-CA- und Entity-Zertifikaten finden Sie unter. [Wird AWS Private CA zur Implementierung von Matter-Zertifikaten verwendet](API-CBR-intro.md)

[Zur Unterstützung bei der Fehlerbehebung stellen die Matter-Entwickler ein Tool zur Überprüfung von Zertifikaten namens chip-cert zur Verfügung.](https://github.com/project-chip/connectedhomeip/tree/master/src/tools/chip-cert) Fehler, die das Tool meldet, sind in der folgenden Tabelle mit Abhilfemaßnahmen aufgeführt.


****  

| Fehlercode | Bedeutung | Abhilfe | 
| --- | --- | --- | 
|  0x00000305   |  `BasicConstraints`,`KeyUsage`, und `ExtensionKeyUsage` Erweiterungen müssen als kritisch markiert werden.  | Stellen Sie sicher, dass Sie die richtige Vorlage für Ihren Anwendungsfall ausgewählt haben. | 
|  0x00000050  |  Die Erweiterung zur Identifizierung des Autoritätsschlüssels muss vorhanden sein.  | AWS Private CA legt die Erweiterung zur Identifizierung des Autoritätsschlüssels für Stammzertifikate nicht fest. Sie müssen mithilfe der CSR einen Base64-codierten AuthorityKeyIdentifier Wert generieren und ihn dann durch eine übergeben. [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html) Weitere Informationen erhalten Sie unter [Aktivieren Sie eine Root-CA für Node Operational Certificates (NOC).](JavaApiCBC-ActivateRootCA.md) und [Aktivieren Sie eine Product Attestation Authority (PAA)](JavaApiCBC-ProductAttestationAuthorityActivation.md). | 
| 0x0000004E | Das Zertifikat ist abgelaufen. | Stellen Sie sicher, dass das von Ihnen verwendete Zertifikat noch nicht abgelaufen ist. | 
| 0x00000014 | Fehler bei der Validierung der Zertifikatskette. |  Dieser Fehler kann auftreten, wenn Sie versuchen, ein Matter-konformes Endentitätszertifikat zu erstellen, ohne die bereitgestellten [Java-Beispiele](API-CBR-intro.md) zu verwenden, die die AWS Private CA API verwenden, um ein ordnungsgemäß konfiguriertes Zertifikat zu übergeben. KeyUsage   AWS Private CA Generiert standardmäßig KeyUsage Neun-Bit-Erweiterungswerte, wobei das neunte Bit zu einem zusätzlichen Byte führt. Matter ignoriert das zusätzliche Byte bei Formatkonvertierungen, was zu Fehlern bei der Kettenvalidierung führt. Ein Wert [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html)in der `APIPassthrough` Vorlage kann jedoch verwendet werden, um die genaue Anzahl der Byte im `KeyUsage` Wert festzulegen. Ein Beispiel finden Sie unter [Erstellen Sie ein Node Operational Certificate (NOC)](JavaApiCBC-NodeOperatingCertificate.md). Wenn Sie den Beispielcode ändern oder ein alternatives X.509-Hilfsprogramm wie OpenSSL verwenden, müssen Sie eine manuelle Überprüfung durchführen, um Fehler bei der Kettenvalidierung zu vermeiden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/TroubleshootPcaMatter.html)  |