Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risolvi i problemi relativi a AWS Autorità di certificazione privata Connector for SCEP
Potrebbe essere necessario risolvere i problemi relativi all'implementazione di Connector for SCEP. Questo capitolo fornisce informazioni dettagliate sugli errori HTTP e client inviati dal servizio.
**Topics**
+ [Risolvi gli errori HTTP da Connector for SCEP](c4scep-troubleshoot-http-error.md)
+ [Risolvi gli errori del client Connector for SCEP](troubleshoot-connector-scep-client-errors.md)
# Risolvi gli errori HTTP da Connector for SCEP
Quando il client attiva un'azione API Connector for SCEP dataplane e genera un errore, Connector for SCEP invia un codice di risposta HTTP al client richiedente con informazioni sull'errore.
Oltre alle risposte di servizio fornite direttamente ai clienti, è possibile utilizzare gli strumenti di monitoraggio descritti nella [Monitor Connector per SCEP](c4scep-monitoring-overview.md) sezione per visualizzare ed eseguire il debug degli errori che generano un errore HTTP.
Di seguito sono riportati i messaggi di errore restituiti dal servizio ai client SCEP, le possibili cause e i passaggi che è possibile eseguire per risolvere i problemi.
## HTTP 400 Richiesta errata
Un codice di risposta HTTP 400 indica che Connector for SCEP non è in grado di elaborare la richiesta a causa di un apparente errore del client, ad esempio dati mancanti o non validi nella richiesta. Se l'errore deriva da un errore specifico del protocollo SCEP, Connector for SCEP include la risposta SCEP come file binario nel messaggio. Connector for SCEP APIs può restituire 400 risposte per uno dei seguenti motivi.
| Intestazione di risposta (x-amzn-) ErrorType | Messaggio di errore (x-amzn-) ErrorMessage | Causa principale | Correzione | Include la risposta SCEP? |
| --- | --- | --- | --- | --- |
| LimitExceededException | Il limite di emissione dell'autorità di certificazione è stato superato. | L'autorità di certificazione (CA) privata associata al connettore ha superato la sua quota per il numero di certificati che può emettere. | Un connettore SCEP può essere collegato solo a una CA privata per tutta la sua durata. Se hai esaurito i limiti della tua CA privata, crea un nuovo connettore o richiedi un aumento della quota. [Per ulteriori informazioni sulle quote CA private, consulta AWS Autorità di certificazione privata quote.](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca) | No |
| ValidationException | La richiesta deve contenere base64. | Il connettore per SCEP non può elaborare la richiesta HTTP GET perché il corpo non è Base64 valido. | Se possibile, configurate i client in modo che utilizzino messaggi HTTP POST anziché messaggi HTTP GET. Se è necessario utilizzare HTTP GET, i messaggi devono utilizzare il formato Base64. Se i tuoi clienti non sono compatibili con questi requisiti, contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. | No |
| ValidationException | L'autorità di certificazione non è attiva. | La CA privata associata al connettore è inattiva. | Riattiva la CA privata. Per informazioni, consulta [Aggiorna una CA privata in AWS Autorità di certificazione privata](PCAUpdateCA.md). | No |
| ValidationException | La validità del certificato dell'autorità di certificazione deve essere di almeno un anno dalla data odierna. | La CA privata associata al connettore generico deve avere un periodo di validità di un anno a partire da oggi. | Riemetti il certificato con un periodo di validità superiore a un anno a partire da oggi. Per informazioni sulla gestione dei certificati, vedere[Gestisci il ciclo di vita della CA privata](ca-lifecycle.md). | No |
| ValidationException | Il certificato incluso nella richiesta è scaduto. | Il certificato transitorio generato dal dispositivo client per ogni transazione è scaduto al momento della ricezione da parte del servizio. | È molto probabile che i dispositivi client non abbiano le impostazioni temporali configurate correttamente e stiano creando certificati con date successive al tempo reale. Se non riesci a risolvere il problema, contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. | No |
| ValidationException | La richiesta contiene una sintassi dei messaggi crittografici non valida. | Il servizio non è stato in grado di decodificare il messaggio di richiesta SCEP. | [Controlla se i tuoi messaggi SCEP sono conformi alla sintassi dei messaggi crittografici definita in SCEP RFC 8894.](https://www.rfc-editor.org/rfc/rfc8894.html) Se non riesci a risolvere il problema, contatta per ricevere assistenza. [Supporto AWS](https://aws.amazon.com/contact-us/) | No |
| ValidationException | Il connettore non è attivo. | Lo stato del connettore non è **attivo**. | Puoi trovare lo stato di un connettore nella console o nel campo [Stato](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why) dell'API. Lo stato di un connettore può essere in **creazione**, **attivo**, in **eliminazione** o **non riuscito**. Se lo stato è in fase **di creazione**, prova la richiesta più tardi. Se lo stato **non è riuscito**, visualizza il motivo dello stato per risolvere il problema, quindi crea un nuovo connettore. | No |
| ValidationException | Nella richiesta deve essere incluso un certificato valido. | Il certificato temporaneo incluso nel messaggio di richiesta del client era mancante o non valido. | I client compatibili con SCEP devono fornire un certificato autofirmato per autenticarsi. Se il cliente non è in grado di fornire il certificato autofirmato richiesto, contattateci per ricevere assistenza. [Supporto AWS](https://aws.amazon.com/contact-us/) | No |
| ValidationException | L'URI della richiesta non è valido. | Il connettore per SCEP non può analizzare la richiesta perché il percorso URI o la query della richiesta non sono validi. | Gli amministratori devono verificare le impostazioni di configurazione dei dispositivi client, che in genere vengono gestiti tramite un sistema di gestione dei dispositivi mobili (MDM). Per ulteriori informazioni, consulta [Passaggio 2: Copia i dettagli del connettore nel tuo sistema MDM](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details). | No |
| ValidationException | Nella richiesta è richiesta esattamente un'intestazione host. | Il client non ha fornito un'intestazione HTTP Host valida nella richiesta, necessaria per l'elaborazione della richiesta. | L'intestazione dell'host HTTP è necessaria per distinguere le richieste provenienti da connettori diversi. Se il client non è in grado di fornire l'intestazione dell'host HTTP richiesta, contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. | No |
| ValidationException | La richiesta non può essere decodificata. Invia una richiesta SCEP valida. | Il servizio non è riuscito a decodificare ed elaborare la richiesta CMS (Cryptographic Message Syntax) inviata dal client. | Se i tuoi clienti hanno problemi con la nostra implementazione di SCEP, prendi nota dell'ID della richiesta (`x-amzn-requestid`) contenuto nella risposta e nel contatto. [Supporto AWS](https://aws.amazon.com/contact-us/) | No |
| ValidationException | La risposta non può essere codificata con i valori derivati dalla richiesta. Invia una richiesta SCEP valida. | Il servizio non è stato in grado di codificare la risposta SCEP. | Questo problema si verifica in genere quando il servizio non è in grado di utilizzare il certificato del richiedente fornito per codificare correttamente il messaggio di risposta SCEP. Questo può accadere, ad esempio, se il certificato del richiedente ha una chiave Elliptic Curve Digital Signature Algorithm (ECDSA), che Connector for SCEP non supporta. Se riscontri questo problema, configura innanzitutto il client MDM o SCEP per utilizzare RSA. Se ancora non riesci a risolvere il problema, prendi nota dell'ID della richiesta (`x-amzn-requestid`) riportato nella risposta e contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. | No |
| ValidationException | Algoritmo non supportato: | La richiesta è stata firmata o crittografata da un algoritmo crittografico non supportato. | Il nostro servizio non supporta alcuni algoritmi crittografici obsoleti e deboli. Queste informazioni vengono comunicate ai clienti tramite la richiesta. `GetCACaps` Tuttavia, alcuni client potrebbero non utilizzare questo metodo per verificare gli algoritmi supportati. Se i tuoi clienti sembrano incompatibili con gli algoritmi crittografici supportati dal nostro servizio, contatta per ricevere assistenza. [Supporto AWS](https://aws.amazon.com/contact-us/) | No |
| ValidationException | PkiOperation MessageType non supportato. | Il messaggio di richiesta conteneva un tipo di `PkiOperation` messaggio non valido e non poteva essere elaborato dal servizio. | Il nostro servizio supporta solo un sottoinsieme dei tipi di messaggi del protocollo SCEP definiti in RFC 8894. In particolare, riconosciamo ed elaboriamo i seguenti tipi di messaggi: CertRep,, PKCSReq GetCert, getCRL e. CertPoll Comunichiamo i tipi di messaggi supportati ai client tramite il metodo GetCACaps . Purtroppo, alcuni client potrebbero non utilizzare questo metodo e potrebbero non essere conformi alle funzionalità del nostro servizio. Se i tuoi clienti sembrano incompatibili con i tipi di messaggi SCEP supportati dal nostro servizio, contattaci. [Supporto AWS](https://aws.amazon.com/contact-us/) | No |
| BadRequestException | La password della sfida non è valida. | La password di sfida fornita dal client non era valida per l'endpoint di servizio contattato e il connettore associato. La password di sfida è una misura di sicurezza obbligatoria definita nel protocollo SCEP per garantire che solo i client autorizzati possano accedere al servizio. | Assicurati che il tuo cliente fornisca la password di sfida corretta nella richiesta. Puoi trovare i dettagli del connettore nella console o tramite l'[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)API. Per ulteriori informazioni, consulta [Passaggio 2: Copia i dettagli del connettore nel tuo sistema MDM](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details). | Sì |
| BadRequestException | Nella richiesta di firma del certificato è richiesta esattamente una password di sfida. | Il client ha fornito zero o più password di sfida nella sua richiesta. | Assicurati che il tuo cliente fornisca una sola password di sfida nella sua richiesta. Puoi trovare le password di sfida nei dettagli del connettore nella console o tramite l'[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)API. Per ulteriori informazioni, consulta [Passaggio 2: Copia i dettagli del connettore nel tuo sistema MDM](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details). | Sì |
| BadRequestException | Il connettore non ha accesso ad Azure. | Connector for Microsoft Intune autorizza le richieste dei client tramite Microsoft Intune. Ciò richiede che tu conceda l'autorizzazione a Connector for SCEP per accedere alle tue risorse di Azure. | Configura le autorizzazioni dettagliate in. [Passaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra IDPassaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra ID](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca) | Sì |
| BadRequestException | L'applicazione Azure non ha accesso per eseguire. | Connector for Microsoft Intune autorizza le richieste dei client tramite Microsoft Intune. Ciò richiede che tu conceda l'autorizzazione a Connector for SCEP per accedere alle tue risorse di Azure. | Configura le autorizzazioni dettagliate in. [Passaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra IDPassaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra ID](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca) | Sì |
| BadRequestException | L'applicazione Azure non è stata trovata. | Connector for Microsoft Intune autorizza le richieste dei client tramite Microsoft Intune. Questo errore indica che non hai una registrazione dell'app nel tuo ID Microsoft Entra o che i dettagli di Intune del connettore non sono configurati correttamente. | Segui le indicazioni riportate nell'argomento. [Configurazione di Microsoft Intune per Connector for SCEPConfigurazione di Microsoft Intune](connector-for-scep-intune.md) | Sì |
| BadRequestException | La convalida della richiesta di firma del certificato Intune non è riuscita. Motivo: | Connector for Microsoft Intune autorizza le richieste dei client tramite Microsoft Intune. Questo messaggio di errore indica che il processo di convalida di Intune non è riuscito e che viene fornito il codice di errore Intune corrispondente. | Segui le indicazioni riportate nell'argomento. [Configurazione di Microsoft Intune per Connector for SCEPConfigurazione di Microsoft Intune](connector-for-scep-intune.md) Se il problema persiste, contatta il supporto Microsoft. | Sì |
| BadRequestException | PkiOperation MessageType non supportato:. | Il messaggio di richiesta conteneva un tipo di messaggio non valido e non poteva essere elaborato dal servizio. | Il nostro servizio supporta solo un sottoinsieme dei tipi di messaggi del protocollo SCEP definiti in RFC 8894. In particolare, riconosciamo ed elaboriamo i seguenti tipi di messaggi: CertRep,, PKCSReq GetCert, getCRL e. CertPoll Comunichiamo i tipi di messaggi supportati ai client tramite il metodo GetCACaps . Purtroppo, alcuni client potrebbero non utilizzare questo metodo e potrebbero non essere conformi alle funzionalità del nostro servizio. Se i tuoi clienti sembrano incompatibili con i tipi di messaggi SCEP supportati dal nostro servizio, contattaci. [Supporto AWS](https://aws.amazon.com/contact-us/) | Sì |
| BadRequestException | L'algoritmo o la lunghezza della chiave non sono supportati. | Il servizio non supporta la chiave pubblica fornita inclusa nella richiesta di firma del certificato. | Il nostro servizio supporta solo chiavi RSA standard fino a 16.384 bit e chiavi ECDSA fino a 521 bit. Se i tuoi clienti richiedono l'uso di un algoritmo attualmente non supportato, contatta per ricevere assistenza. [Supporto AWS](https://aws.amazon.com/contact-us/) | Sì |
## HTTP 401 non autorizzato
Un codice di stato della risposta 401 Non autorizzato indica che la richiesta del client non è stata completata perché mancano credenziali di autenticazione valide per la risorsa richiesta.
| Intestazione di risposta (x-amzn-) ErrorType | Messaggio di errore (x-amzn-) ErrorMessage | Causa principale | Correzione | Include la risposta SCEP? |
| --- | --- | --- | --- | --- |
| AccessDeniedException | Il connettore non ha accesso all'autorità di certificazione. | Il connettore per SCEP non ha accesso alla CA privata associata al connettore. | Condividi la tua CA privata con Connector for SCEP. AWS Resource Access Manager | No |
| AccountDoesNotExistException | L' AWS account non esiste. | La risorsa Connector for SCEP non esiste più. | L'account proprietario della risorsa di destinazione è stato eliminato. Se ciò è stato fatto per errore, contattateci [Supporto AWS](https://aws.amazon.com/contact-us/)entro il periodo di 90 giorni dalla chiusura. | No |
## HTTP 404 non trovato
Un codice di risposta HTTP 404 di solito indica che la risorsa che stavi cercando non è stata trovata.
| Intestazione di risposta (x-amzn- ErrorType | Messaggio di errore (x-amzn-) ErrorMessage | Causa principale | Correzione | Include la risposta SCEP? |
| --- | --- | --- | --- | --- |
| ResourceNotFoundException | L'autorità di certificazione non esiste. | La CA privata associata al connettore è stata eliminata. | È previsto un periodo di grazia durante il quale è possibile ripristinare un'Autorità di certificazione (CA) privata se è stata eliminata per errore. Per ulteriori informazioni, consulta [Ripristinare una CA privata](PCARestoreCA.md). | No |
| ResourceNotFoundException | Non esiste un connettore con endpoint. | Il dispositivo client ha tentato di connettersi a un URL che non appartiene a nessun connettore esistente. | Assicurati che il tuo client fornisca l'endpoint corretto per il connettore. Per visualizzare un connettore`Endpoint`, chiama l'[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)API o visualizzala nella pagina dei dettagli del connettore nella console. | No |
## Conflitto HTTP 409
Una risposta HTTP 409 Conflict segnala che una CA privata associata a un connettore è cambiata dall'avvio della richiesta.
| Intestazione di risposta (x-amzn-) ErrorType | Messaggio di errore (x-amzn-) ErrorMessage | Causa principale | Correzione | Include la risposta SCEP? |
| --- | --- | --- | --- | --- |
| ConflictException | Il connettore è cambiato da quando è stata avviata la richiesta. | La CA privata associata al connettore è stata aggiornata, innescando una rotazione del certificato interno del connettore utilizzato per la comunicazione con i dispositivi client tramite SCEP. Questa rotazione dei certificati può causare problemi temporanei durante il periodo di aggiornamento, man mano che il nuovo certificato viene distribuito. Tuttavia, questo errore dovrebbe essere risolto automaticamente in modo tempestivo. | Riprova la richiesta tra qualche minuto. Se il problema persiste, contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. | No |
## HTTP 429 Troppe richieste
Connector for SCEP ha quote a livello di account, per regione. Se superi il limite di richieste a un connettore, le tue richieste verranno rifiutate con un errore HTTP 429. Se devi aumentare la tua quota, consulta [AWS Autorità di certificazione privata endpoint e](https://docs.aws.amazon.com/general/latest/gr/pca.html) quote.
| Intestazione di risposta (x-amzn-) ErrorType | Messaggio di errore (x-amzn-) ErrorMessage | Causa principale | Correzione | Include la risposta SCEP? |
| --- | --- | --- | --- | --- |
| ThrottlingException | La richiesta è stata negata a causa del throttling della richiesta. | Sono state inviate troppe richieste a questo connettore, il che ha comportato il rifiuto di alcune richieste. Questa rotazione dei certificati può causare problemi temporanei durante il periodo di aggiornamento, poiché il nuovo certificato viene distribuito. Tuttavia, questo errore dovrebbe essere risolto automaticamente in modo tempestivo. | Se superi il limite di richieste a un connettore, le tue richieste verranno rifiutate. Se devi aumentare la tua quota, consulta [Connettore per endpoint e quote SCEP](https://docs.aws.amazon.com/general/latest/gr/pca.html). | No |
# Risolvi gli errori del client Connector for SCEP
Utilizza la seguente guida per risolvere gli errori del client relativi a Connector for SCEP.
| Esempio di messaggio | Causa principale | Soluzione |
| --- | --- | --- |
| Le chiavi ECDSA non sono supportate | Il connettore è collegato a una CA privata che utilizza una chiave ECDSA anziché RSA. Sebbene questo servizio supporti le chiavi ECDSA, non tutti i dispositivi client potrebbero essere compatibili con questo algoritmo. | Prendi in considerazione l'utilizzo di una CA privata crittografata con RSA anziché ECDSA. Se crei una CA privata che utilizza RSA, dovrai creare anche un nuovo connettore. Un connettore può essere collegato a una sola CA privata per tutta la sua durata. |
| Il certificato di crittografia o firma non è presente | Secondo RFC 8894, un servizio SCEP restituisce certificati CA intermedi al client. Questi certificati vengono utilizzati dal client per eseguire operazioni di crittografia e convalida della firma come parte del protocollo SCEP. Connector for SCEP utilizza lo stesso certificato sia per la crittografia che per la convalida della firma, un approccio comune. Tuttavia, alcuni client potrebbero aspettarsi di avere invece due certificati separati. | Se non riesci a utilizzare client compatibili, contatta [Supporto AWS](https://aws.amazon.com/contact-us/)per ricevere assistenza. |