翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Private Certificate Authority Connector for SCEP の問題のトラブルシューティング
<a name="troubleshoot-connector-scep"></a>

Connector for SCEP の実装に関連する問題のトラブルシューティングが必要になる場合があります。この章では、サービスによって送信される HTTP およびクライアントエラーに関する詳細情報を提供します。

**Topics**
+ [Connector for SCEP からの HTTP エラーのトラブルシューティング](c4scep-troubleshoot-http-error.md)
+ [Connector for SCEP クライアントエラーのトラブルシューティング](troubleshoot-connector-scep-client-errors.md)

# Connector for SCEP からの HTTP エラーのトラブルシューティング
<a name="c4scep-troubleshoot-http-error"></a>

クライアントが Connector for SCEP データプレーン API アクションをトリガーし、エラーが発生すると、Connector for SCEP はエラーに関する情報を含む HTTP レスポンスコードをリクエスト元のクライアントに送信します。

クライアントに直接提供されるサービスレスポンスに加えて、 [SCEP 用 Monitor Connector](c4scep-monitoring-overview.md)セクションで説明されているモニタリングツールを使用して、HTTP エラーが発生するエラーを表示およびデバッグできます。

以下は、サービスから SCEP クライアントに返されるエラーメッセージ、考えられる原因、および問題を解決するために実行できる手順です。

## HTTP 400 不正なリクエスト
<a name="troubleshoot-connector-scep-http400"></a>

HTTP 400 レスポンスコードは、Connector for SCEP がリクエスト内の欠落データや無効なデータなどのクライアントエラーによりリクエストを処理できないことを意味します。エラーが SCEP プロトコル固有のエラーに起因する場合、Connector for SCEP は SCEP レスポンスをメッセージにバイナリとして含めます。Connector for SCEP APIsは、次のいずれかの理由で 400 件のレスポンスを返すことができます。


| レスポンスヘッダー (x-amzn-ErrorType) | エラーメッセージ (x-amzn-ErrorMessage) | 根本原因 | 修正 | SCEP レスポンスが含まれていますか? | 
| --- | --- | --- | --- | --- | 
|  LimitExceededException  |  認証機関の発行制限を超えました。  |  コネクタに関連付けられたプライベート認証機関 (CA) が、発行できる証明書数のクォータを超えています。  |  SCEP コネクタは、存続期間中は 1 つのプライベート CA にのみ接続できます。プライベート CA の制限を使い果たした場合は、新しいコネクタを作成するか、クォータの引き上げをリクエストします。プライベート CA クォータの詳細については、[AWS Private Certificate Authority 「 クォータ](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)」を参照してください。  |  いいえ  | 
|  ValidationException  |  リクエストには base64 が含まれている必要があります。  |  Connector for SCEP は、本文が有効な Base64 ではないため、HTTP GET リクエストを処理できません。  |  可能であれば、HTTP GET メッセージの代わりに HTTP POST メッセージを使用するようにクライアントを設定します。HTTP GET を使用する必要がある場合、メッセージは Base64 形式を使用する必要があります。クライアントがこれらの要件と互換性がない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  認証機関がアクティブではありません。  |  コネクタに関連付けられたプライベート CA は非アクティブです。  |  プライベート CA を再アクティブ化します。詳細については、「[でプライベート CA を更新する AWS Private Certificate Authority](PCAUpdateCA.md)」を参照してください。  |  いいえ  | 
|  ValidationException  |  認証機関の証明書の有効性は、本日より 1 年以上経過している必要があります。  |  汎用コネクタに関連付けられたプライベート CA の有効期間は、今日から 1 年である必要があります。  |  今日から 1 年を超える有効期間で証明書を再発行します。証明書の管理については、「」を参照してください[プライベート CA ライフサイクルを管理する](ca-lifecycle.md)。  |  いいえ  | 
|  ValidationException  |  リクエストに含まれる証明書の有効期限が切れています。  |  各トランザクションでクライアントデバイスによって生成された一時的な証明書は、サービスによる受信時に期限切れになりました。  |  ほとんどの場合、クライアントデバイスには時間設定が正しく設定されておらず、リアルタイムより後の日付の証明書を作成しています。この問題を解決できない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  リクエストに無効な暗号化メッセージ構文が含まれています。  |  サービスは SCEP リクエストメッセージをデコードできませんでした。  |  SCEP メッセージが [SCEP RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) で定義されている暗号化メッセージ構文に準拠しているかどうかを確認します。この問題を解決できない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  コネクタはアクティブではありません。  |  コネクタのステータスは**アクティブ**ではありません。  |  コネクタのステータスは、コンソールまたは API の [Status](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why) フィールドにあります。コネクタのステータスは、**作成**、**アクティブ**、**削除**、**失敗**のいずれかになります。ステータス**が作成され**ている場合は、後でリクエストを試してください。ステータスが**失敗した**場合は、ステータスの理由を表示して問題をトラブルシューティングし、新しいコネクタを作成します。  |  いいえ  | 
|  ValidationException  |  リクエストには有効な証明書が含まれている必要があります。  |  クライアントからのリクエストメッセージに含まれる一時的な証明書がないか、無効です。  |  SCEP 互換クライアントは、自身を認証するために自己署名証明書を提供する必要があります。クライアントが必要な自己署名証明書を提供できない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  リクエスト URI が無効です。  |  Connector for SCEP は、リクエストの URI パスまたはクエリが無効であるため、リクエストを解析できません。  |  管理者は、クライアントデバイスの構成設定を検証する必要があります。これは通常、モバイルデバイス管理 (MDM) システムを通じて管理されます。詳細については、「[ステップ 2: コネクタの詳細を MDM システムにコピーする](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)」を参照してください。  |  いいえ  | 
|  ValidationException  |  リクエストには 1 つのホストヘッダーが必要です。  |  クライアントは、リクエストで有効な HTTP ホストヘッダーを提供しませんでした。これは、リクエストを処理するために必要です。  |  HTTP ホストヘッダーは、異なるコネクタへのリクエストを区別するために必要です。クライアントが必要な HTTP ホストヘッダーを提供できない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  リクエストをデコードできませんでした。有効な SCEP リクエストを送信してください。  |  サービスは、クライアントが送信した暗号化メッセージ構文 (CMS) リクエストをデコードして処理できませんでした。  |  クライアントで SCEP の実装に問題がある場合は、レスポンスのリクエスト ID (`x-amzn-requestid`) を書き留めて、 にお問い合わせください[AWS サポート](https://aws.amazon.com/contact-us/)。  |  いいえ  | 
|  ValidationException  |  レスポンスをリクエストから派生した値でエンコードできませんでした。有効な SCEP リクエストを送信してください。  |  サービスは SCEP レスポンスをエンコードできませんでした。  |  この問題は通常、サービスが提供されたリクエスタ証明書を使用して SCEP レスポンスメッセージを適切にエンコードできない場合に発生します。これは、リクエスタ証明書に楕円曲線デジタル署名アルゴリズム (ECDSA) キーがあり、Connector for SCEP がサポートしていない場合などに発生する可能性があります。 この問題が発生した場合は、まず RSA を使用するように MDM または SCEP クライアントを設定します。それでも問題を解決できない場合は、レスポンスのリクエスト ID (`x-amzn-requestid`) を書き留めて、サポート[AWS サポート](https://aws.amazon.com/contact-us/)を依頼してください。  |  いいえ  | 
|  ValidationException  |  サポートされていないアルゴリズム: <OID>  |  リクエストは、サポートされていない暗号化アルゴリズムによって署名または暗号化されました。  |  当社のサービスは、特定の古くて弱い暗号化アルゴリズムをサポートしていません。この情報は、`GetCACaps`リクエストを通じてクライアントに伝えられます。ただし、一部のクライアントは、この方法を使用してサポートされているアルゴリズムをチェックしない場合があります。 クライアントが当社のサービスでサポートされている暗号化アルゴリズムと互換性がないと思われる場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 
|  ValidationException  |  サポートされていない PkiOperation messageType。  |  リクエストメッセージには無効な`PkiOperation`メッセージタイプが含まれており、サービスで処理できませんでした。  |  当社のサービスは、RFC 8894 で定義されている SCEP プロトコルメッセージタイプのサブセットのみをサポートしています。具体的には、CertRep、PKCSReq、GetCert、GetCRL、CertPoll のメッセージタイプを認識して処理します。 サポートされているメッセージタイプは、GetCACaps メソッドを通じてクライアントに伝えられます。残念ながら、一部のクライアントはこの方法を使用しておらず、サービスの機能に準拠していない可能性があります。 クライアントが当社のサービスでサポートされている SCEP メッセージタイプと互換性がないと思われる場合は、 にお問い合わせください[AWS サポート](https://aws.amazon.com/contact-us/)。  |  いいえ  | 
|  BadRequestException  |  チャレンジパスワードが無効です。  |  クライアントによって提供されたチャレンジパスワードは、接続されたサービスエンドポイントとそれに関連付けられたコネクタに対して無効でした。チャレンジパスワードは、承認されたクライアントのみがサービスにアクセスできるように、SCEP プロトコルで定義された必須のセキュリティ対策です。  |  クライアントがリクエストで正しいチャレンジパスワードを提供していることを確認します。コネクタの詳細は、コンソールまたは [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API で確認できます。詳細については、「[ステップ 2: コネクタの詳細を MDM システムにコピーする](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)」を参照してください。  |  はい  | 
|  BadRequestException  |  証明書署名リクエストには 1 つのチャレンジパスワードが必要です。  |  クライアントは、リクエストでゼロまたは複数のチャレンジパスワードを提供しました。  |  クライアントがリクエストでチャレンジパスワードを 1 つ指定していることを確認します。チャレンジパスワードは、コンソールまたは [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API を使用して、コネクタの詳細で確認できます。詳細については、「[ステップ 2: コネクタの詳細を MDM システムにコピーする](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)」を参照してください。  |  はい  | 
|  BadRequestException  |  コネクタは Azure にアクセスできません。  |  Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。これには、Connector for SCEP が Azure リソースにアクセスするためのアクセス許可を付与する必要があります。  |  で説明されているアクセス許可を設定します[ステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与するステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与する](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。  |  はい  | 
|  BadRequestException  |  Azure アプリケーションには、<action> を実行するアクセス権限がありません。  |  Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。これには、Connector for SCEP が Azure リソースにアクセスするためのアクセス許可を付与する必要があります。  |  で説明されているアクセス許可を設定します[ステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与するステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与する](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。  |  はい  | 
|  BadRequestException  |  Azure アプリケーションが見つかりませんでした。  |  Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。このエラーは、Microsoft Entra ID にアプリ登録がないか、コネクタの Intune の詳細が正しく設定されていないことを示します。  |  [Connector for SCEP の Microsoft Intune を設定するMicrosoft Intune を設定する](connector-for-scep-intune.md) トピックのガイダンスに従ってください。  |  はい  | 
|  BadRequestException  |  Intune 証明書署名リクエストの検証に失敗しました。理由: <reason>  |  Connector for Microsoft Intune は、Microsoft Intune を通じてクライアントリクエストを承認します。このエラーメッセージは、Intune 検証プロセスが失敗し、対応する Intune エラーコードが提供されていることを示します。  |  [Connector for SCEP の Microsoft Intune を設定するMicrosoft Intune を設定する](connector-for-scep-intune.md) トピックのガイダンスに従ってください。問題が解決しない場合は、Microsoft サポートにお問い合わせください。  |  はい  | 
|  BadRequestException  |  サポートされていない PkiOperation messageType: <message type>。  |  リクエストメッセージには無効なメッセージタイプが含まれており、サービスで処理できませんでした。  |  当社のサービスは、RFC 8894 で定義されている SCEP プロトコルメッセージタイプのサブセットのみをサポートしています。具体的には、CertRep、PKCSReq、GetCert、GetCRL、CertPoll のメッセージタイプを認識して処理します。 サポートされているメッセージタイプは、GetCACaps メソッドを通じてクライアントに伝えられます。残念ながら、一部のクライアントはこの方法を使用しておらず、サービスの機能に準拠していない可能性があります。 クライアントが当社のサービスでサポートされている SCEP メッセージタイプと互換性がないと思われる場合は、 にお問い合わせください[AWS サポート](https://aws.amazon.com/contact-us/)。  |  はい  | 
|  BadRequestException  |  キーアルゴリズムまたは長さはサポートされていません。  |  このサービスは、証明書署名リクエストに含まれる提供されたパブリックキーをサポートしていません。  |  当社のサービスは、最大 16,384 ビットの標準 RSA キーと最大 521 ビットの ECDSA キーのみをサポートしています。クライアントで現在サポートされていないアルゴリズムの使用が必要な場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  はい  | 

## HTTP 401 未承認
<a name="troubleshoot-connector-scep-http401"></a>

401 Unauthorized レスポンスステータスコードは、リクエストしたリソースに対する有効な認証情報がないことが原因でクライアントのリクエストが完了していないことを意味します。


| レスポンスヘッダー (x-amzn-ErrorType) | エラーメッセージ (x-amzn-ErrorMessage) | 根本原因 | 修正 | SCEP レスポンスが含まれていますか? | 
| --- | --- | --- | --- | --- | 
|  AccessDeniedException  |  コネクタは認証機関にアクセスできません。  |  Connector for SCEP は、コネクタに関連付けられたプライベート CA にアクセスできません。  |  を使用して、プライベート CA を Connector for SCEP と共有します AWS Resource Access Manager。  |  いいえ  | 
|  AccountDoesNotExistException  |   AWS アカウントが存在しません。  |  Connector for SCEP リソースが存在しなくなりました。  |  ターゲットリソースを所有するアカウントは削除されました。これを誤って実行した場合は、閉鎖後 [AWS サポート](https://aws.amazon.com/contact-us/) 90 日以内に に連絡してください。  |  いいえ  | 

## HTTP 404 が見つかりません
<a name="troubleshoot-connector-scep-http404"></a>

HTTP 404 レスポンスコードは通常、探していたリソースが見つからないことを意味します。


| レスポンスヘッダー (x-amzn-ErrorType | エラーメッセージ (x-amzn-ErrorMessage) | 根本原因 | 修正 | SCEP レスポンスが含まれていますか? | 
| --- | --- | --- | --- | --- | 
|  ResourceNotFoundException  |  認証機関が存在しません。  |  コネクタに関連付けられたプライベート CA が削除されました。  |  プライベート認証機関 (CA) が誤って削除された場合に復元できる猶予期間があります。詳細については、「[プライベート CA を復元する](PCARestoreCA.md)」を参照してください。  |  いいえ  | 
|  ResourceNotFoundException  |  エンドポイント <URL> を持つコネクタは存在しません。  |  クライアントデバイスが、既存のコネクタに属さない URL に接続しようとしました。  |  クライアントがコネクタに正しいエンドポイントを提供していることを確認します。コネクタの を表示するには`Endpoint`、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) API を呼び出すか、コンソールのコネクタの詳細ページで表示します。  |  いいえ  | 

## HTTP 409 の競合
<a name="troubleshoot-connector-scep-http409"></a>

HTTP 409 競合レスポンスは、リクエストが開始されてからコネクタに関連付けられたプライベート CA が変更されたことを示します。


| レスポンスヘッダー (x-amzn-ErrorType) | エラーメッセージ (x-amzn-ErrorMessage) | 根本原因 | 修正 | SCEP レスポンスが含まれていますか? | 
| --- | --- | --- | --- | --- | 
|  ConflictException  |  コネクタは、リクエストが開始されてから変更されています。  |  コネクタに関連付けられたプライベート CA が更新され、SCEP を介したクライアントデバイスとの通信に使用されるコネクタの内部証明書のローテーションがトリガーされました。 この証明書のローテーションにより、新しい証明書がデプロイされるため、更新期間中に一時的な問題が発生する可能性があります。ただし、このエラーはタイムリーに自動的に解決する必要があります。  |  数分後にリクエストを再試行してください。問題が解決しない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |  いいえ  | 

## HTTP 429 リクエストが多すぎる
<a name="troubleshoot-connector-scep-http429"></a>

Connector for SCEP には、リージョンごとにアカウントレベルのクォータがあります。コネクタへのリクエストの制限を超えると、リクエストは HTTP 429 エラーで拒否されます。クォータを増やす必要がある場合は、「 [AWS Private Certificate Authority エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/pca.html)」を参照してください。


| レスポンスヘッダー (x-amzn-ErrorType) | エラーメッセージ (x-amzn-ErrorMessage) | 根本原因 | 修正 | SCEP レスポンスが含まれていますか? | 
| --- | --- | --- | --- | --- | 
|  ThrottlingException  |  リクエストのスロットリングにより、リクエストが拒否されました。  |  このコネクタに対して発行されたリクエストが多すぎるため、一部のリクエストが拒否されます。 この証明書のローテーションにより、新しい証明書がデプロイされるため、更新期間中に一時的な問題が発生する可能性があります。ただし、このエラーはタイムリーに自動的に解決する必要があります。  |  コネクタへのリクエストの制限を超えると、リクエストは拒否されます。クォータを増やす必要がある場合は、[「 Connector for SCEP endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html)」を参照してください。  |  いいえ  | 

# Connector for SCEP クライアントエラーのトラブルシューティング
<a name="troubleshoot-connector-scep-client-errors"></a>

Connector for SCEP に関連するクライアントエラーのトラブルシューティングには、次のガイダンスを使用します。


| メッセージの例 | 根本原因 | ソリューション | 
| --- | --- | --- | 
|  ECDSA キーはサポートされていません  |  コネクタは、RSA の代わりに ECDSA キーを使用するプライベート CA に接続されています。このサービスは ECDSA キーをサポートしていますが、すべてのクライアントデバイスがこのアルゴリズムと互換性があるとは限りません。  |  ECDSA の代わりに RSA で暗号化されたプライベート CA を使用することを検討してください。RSA を使用するプライベート CA を作成する場合は、新しいコネクタも作成する必要があります。コネクタは、その有効期間を通じて 1 つのプライベート CA にのみ関連付けることができます。  | 
|  暗号化証明書または署名証明書が存在しない  |  RFC 8894 によると、SCEP サービスは中間 CA 証明書をクライアントに返します。これらの証明書は、クライアントが SCEP プロトコルの一部として暗号化と署名の検証オペレーションを実行するために使用されます。 Connector for SCEP は、暗号化と署名の検証の両方の目的で同じ証明書を使用します。これは一般的なアプローチです。ただし、一部のクライアントでは、代わりに 2 つの個別の証明書が必要になる場合があります。  |  互換性のあるクライアントを使用できない場合は、 [AWS サポート](https://aws.amazon.com/contact-us/) にお問い合わせください。  |