本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 故障診斷符合 AWS 私有 CA 事項的憑證錯誤
[事項連線標準](https://github.com/project-chip/connectedhomeip)指定憑證組態,以提高物聯網 (IoT) 裝置的安全性和一致性。用於建立符合事項的根 CA、中繼 CA 和終端實體憑證的 Java 範例可在 找到[使用 AWS 私有 CA 實作事項憑證](API-CBR-intro.md)。
為了協助故障診斷,Matter 開發人員提供名為 [chip-cert](https://github.com/project-chip/connectedhomeip/tree/master/src/tools/chip-cert) 的憑證驗證工具。工具報告的錯誤會列在下表中並搭配修補。
****
| 錯誤碼 | 意義 | 修補 |
| --- | --- | --- |
| 0x00000305 | `BasicConstraints`、 `KeyUsage`和 `ExtensionKeyUsage`延伸必須標記為關鍵。 | 請確定您已為使用案例選取正確的範本。 |
| 0x00000050 | 授權單位金鑰識別符延伸必須存在。 | AWS 私有 CA 不會在根憑證上設定授權金鑰識別符延伸。您必須使用 CSR 產生 Base64-encoded的 AuthorityKeyIdentifier 值,然後將其傳遞至 [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html)。如需詳細資訊,請參閱[為節點操作憑證 (NOC) 啟用根 CA。](JavaApiCBC-ActivateRootCA.md)及[啟用產品認證授權機構 (PAA)](JavaApiCBC-ProductAttestationAuthorityActivation.md)。 |
| 0x0000004E | 憑證已過期。 | 確保您使用的憑證未過期。 |
| 0x00000014 | 憑證鏈驗證失敗。 | 如果您嘗試建立符合事項的終端實體憑證而不使用提供的 [Java 範例](API-CBR-intro.md),使用 AWS 私有 CA API 傳遞正確設定的 KeyUsage,則可能會發生此錯誤。
根據預設, AWS 私有 CA 會產生九位元 KeyUsage 延伸值,第九位元會產生額外的位元組。在格式轉換期間,Matter 會忽略額外的位元組,導致鏈結驗證失敗。不過,`APIPassthrough`範本中的 [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html) 可用來設定`KeyUsage`值中的確切位元組數。如需範例,請參閱 [建立節點操作憑證 (NOC)](JavaApiCBC-NodeOperatingCertificate.md)。
如果您修改範例程式碼或使用替代 X.509 公用程式,例如 OpenSSL,則需要執行手動驗證,以避免鏈驗證錯誤。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/TroubleshootPcaMatter.html) |