翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# に関する問題のトラブルシューティング AWS Private Certificate Authority
トラブルシューティング

 AWS Private Certificate Authorityを使用する際に問題がある場合は、以下のトピックを参照してください。

**Topics**
+ [証明書失効の問題](troubleshoot-certificate-revocation.md)
+ [例外メッセージ](PCATsExceptions.md)
+ [Matter 準拠の証明書エラー](TroubleshootPcaMatter.md)

# AWS Private CA 証明書失効の問題のトラブルシューティング
証明書失効の問題

## OCSP レスポンスレイテンシー
OCSP レスポンスレイテンシー

発信者が地域のエッジキャッシュや発行元の CA の地域から地理的に離れていると、OCSP の応答が遅くなる可能性があります。リージョナルエッジキャッシュの可用性についての詳細は、「[グローバルエッジネットワーク](https://aws.amazon.com/cloudfront/details#Global_Edge_Network)」を参照してください。証明書は、使用する地域に近い地域で発行することをお勧めします。

## 自己署名証明書の取り消し
自己署名証明書の取り消し

自己署名 CA 証明書を取り消すことはできません。証明書を機能的に取り消すには、CA を削除します。

# AWS Private Certificate Authority 例外メッセージのトラブルシューティング
例外メッセージ

 AWS Private CA コマンドは、いくつかの理由で失敗することがあります。各例外とその解決に関する推奨事項については、以下の表を参照してください。


**AWS Private CA 例外**  

|  によって返される例外 AWS Private CA  | 説明 | 修正 | 
| --- | --- | --- | 
|  <a name="AccessDeniedException"></a>`AccessDeniedException`  | 指定されたコマンドを使用するために必要なアクセス許可が、プライベート CA によって呼び出し側アカウントに委任されていません。 |  でのアクセス許可の委任については AWS Private CA、「」を参照してください[ACM に証明書の更新許可を割り当てる](assign-permissions.md#PcaPermissions)。  | 
|  <a name="InvalidArgsException"></a>`InvalidArgsException`  | 証明書の作成または更新リクエストが、無効なパラメータを使用して行われました。 | コマンドの各マニュアルを参照して、入力パラメータが有効であることを確認します。新しい証明書を作成する場合は、リクエストされた署名アルゴリズムが CA のキータイプで使用できることを確認してください。 | 
|  <a name="InvalidStateException"></a>`InvalidStateException`  | 関連付けられたプライベート CA が ACTIVE 状態ではないため、証明書を更新できません。 | [[プライベート CA を復元します](PCARestoreCA.md)] を試みます。プライベート CA が復元期間外にある場合、CA を復元できないため、証明書を更新できません。 | 
|  <a name="LimitExceededException"></a>`LimitExceededException`  | 各認証機関 (CA) には、発行できる証明書のクォータがあります。指定された証明書に関連付けられているプライベート CA がクォータに達しました。詳細については、「 AWS 全般のリファレンス ガイド」の「[Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)」を参照してください。 | クォータの引き上げをリクエストするには、 [AWS サポート センター](https://aws.amazon.com/premiumsupport/)にお問い合わせください。 | 
|  <a name="MalformedCSRException"></a>`MalformedCSRException`  |  AWS Private CA に送信された証明書署名要求 (CSR) を、検証または検証できません。 | CSR が正しく生成され、設定されていることを確認します。 | 
|  `OtherException`  | 内部エラーにより、リクエストに失敗しました。 | コマンドを再度実行してみます。問題が解決しない場合は、 [AWS サポート センター](https://aws.amazon.com/premiumsupport/)にお問い合わせください。 | 
|  <a name="RequestFailedException"></a>`RequestFailedException`  |   AWS 環境のネットワーク問題により、リクエストが失敗しました。  |  リクエストを再試行します。問題が解決しない場合は、[Amazon VPC (VPC) 設定](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)を確認してください。  | 
|  <a name="ResourceNotFoundException"></a>`ResourceNotFoundException`  |  証明書を発行したプライベート CA は削除済みであり、存在しません。  |  別のアクティブ CA に新しい証明書をリクエストします。  | 
|  <a name="ThrottlingException"></a>`ThrottlingException`  | リクエストされた API アクションは、クォータを超過したため、失敗しました。 |  発行する呼び出しが、 AWS Private CAで許可された数を超えていないことを確認してください。 `ThrottlingException` エラーは、クォータを超過した状態ではなく、一時的な状態が発生したためにも発生することがあります。このエラーが発生し、発行したコールがクォータを超過していない場合、リクエストを再試行してください。 クォータに達した場合、増加をリクエストすることができます。詳細については、「 AWS 全般のリファレンス ガイド」の[Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)」を参照してください。  | 
|  <a name="ValidationException"></a>`ValidationException`  |  リクエストの入力パラメータが正しくフォーマットされていないか、ルート証明書の有効期間が、リクエストされた証明書の有効期間より前に終了します。  |  コマンドの入力パラメータの構文要件と、CA のルート証明書の有効期間を確認します。有効期間の変更については、「[でプライベート CA を更新する AWS Private Certificate Authority](PCAUpdateCA.md)」を参照してください 。  | 

# AWS Private CA Matter 準拠の証明書エラーのトラブルシューティング
Matter 準拠の証明書エラー

[Matter 接続規格](https://github.com/project-chip/connectedhomeip)は、モノのインターネット (IoT) デバイスのセキュリティと一貫性を向上させる証明書構成を規定しています。Matter 準拠のルート CA、中間 CA、およびエンドエンティティ証明書を作成するための Java サンプルは [を使用して Matter 証明書を実装 AWS Private CA する](API-CBR-intro.md) にあります。

トラブルシューティングに役立つように、Matter 開発者は [chip-cert](https://github.com/project-chip/connectedhomeip/tree/master/src/tools/chip-cert) という証明書検証ツールを提供しています。次の表に、ツールが報告するエラーとその対処方法を示します。


****  

| エラーコード | 意味 | 修正 | 
| --- | --- | --- | 
|  0x00000305   |  `BasicConstraints`、`KeyUsage`、`ExtensionKeyUsage` 拡張は「重要」とマークする必要があります。  | ユースケースに適したテンプレートを選択していることを確認してください。 | 
|  0x00000050  |  権限キー識別子拡張が存在している必要があります。  | AWS Private CA は、ルート証明書の権限キー識別子拡張を設定しません。CSR を使用して Base64 でエンコードされた AuthorityKeyIdentifier 値を生成し、それを [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html) に渡す必要があります。詳細については、「[ノード運用証明書 (NOC) のルート CA をアクティブ化します。](JavaApiCBC-ActivateRootCA.md)」および「[Product Attestation Authority (PAA) をアクティブ化する](JavaApiCBC-ProductAttestationAuthorityActivation.md)」を参照してください。 | 
| 0x0000004E | 証明書の有効期限が切れています。 | 使用する証明書の有効期限が切れていないことを確認してください。 | 
| 0x00000014 | 証明書チェーンの検証に失敗しました。 |  このエラーは、提供された [Java の例](API-CBR-intro.md)を使用せずに Matter 準拠のエンドエンティティ証明書を作成しようとすると発生する可能性があります。この例では、 AWS Private CA API を使用して適切に設定された KeyUsage を渡します。 デフォルトでは、 は 9 ビットの KeyUsage 拡張値 AWS Private CA を生成し、9 番目のビットは余分なバイトになります。Matter はフォーマット変換中に余分なバイトを無視するため、チェーン検証が失敗します。ただし、`APIPassthrough`テンプレートの [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html) を使用して `KeyUsage` 値の正確なバイト数を設定することはできます。例については、[ノード運用証明書 (NOC) を作成する](JavaApiCBC-NodeOperatingCertificate.md)を参照してください。 サンプルコードを変更したり、OpenSSL などの代替の X.509 ユーティリティを使用する場合は、チェーン検証エラーを回避するために手動で検証を行う必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/TroubleshootPcaMatter.html)  |