本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 故障診斷 AWS 私有憑證授權單位 Connector for SCEP 問題
您可能需要疑難排解與 Connector for SCEP 實作相關的問題。本章提供有關服務傳送的 HTTP 和用戶端錯誤的詳細資訊。
**Topics**
+ [從 Connector for SCEP 疑難排解 HTTP 錯誤](c4scep-troubleshoot-http-error.md)
+ [Connector for SCEP 用戶端錯誤故障診斷](troubleshoot-connector-scep-client-errors.md)
# 從 Connector for SCEP 疑難排解 HTTP 錯誤
當您的用戶端觸發 Connector for SCEP 資料平面 API 動作並導致錯誤時,Connector for SCEP 會傳送 HTTP 回應碼給請求用戶端,其中包含錯誤的相關資訊。
除了直接提供給用戶端的服務回應之外,您還可以使用 [Monitor Connector for SCEP](c4scep-monitoring-overview.md)一節所述的監控工具來檢視和偵錯導致 HTTP 錯誤的錯誤。
以下是 服務傳回給 SCEP 用戶端的錯誤訊息、潛在原因,以及您可以採取的步驟來解決問題。
## HTTP 400 錯誤請求
HTTP 400 回應碼表示 Connector for SCEP 因明顯的用戶端錯誤而無法處理請求,例如請求中的資料遺失或無效。如果錯誤是由 SCEP-protocol 特定錯誤造成,Connector for SCEP 會將 SCEP 回應作為二進位包含在訊息中。Connector for SCEP APIs 可以傳回 400 個回應,原因如下。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| LimitExceededException | 超過憑證授權單位發行限制。 | 與連接器相關聯的私有憑證授權機構 (CA) 已超過其可發行的憑證數量配額。 | SCEP 連接器在生命週期內只能連接到一個私有 CA。如果您已用盡私有 CA 的限制,請建立新的連接器或請求增加配額。如需私有 CA 配額的詳細資訊,請參閱[AWS 私有憑證授權單位 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。 | 否 |
| ValidationException | 請求必須包含 base64。 | Connector for SCEP 無法處理 HTTP GET 請求,因為內文不是有效的 Base64。 | 如果可能,請將您的用戶端設定為使用 HTTP POST 訊息,而非 HTTP GET 訊息。如果您必須使用 HTTP GET,訊息必須使用 Base64 格式。如果您的用戶端與這些要求不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 憑證授權機構未處於作用中狀態。 | 與連接器相關聯的私有 CA 處於非作用中狀態。 | 重新啟用私有 CA。如需相關資訊,請參閱[在 中更新私有 CA AWS 私有憑證授權單位](PCAUpdateCA.md)。 | 否 |
| ValidationException | 憑證授權單位憑證有效性必須至少為從今天起算一年。 | 與一般用途連接器相關聯的私有 CA 必須具有從今天起算一年的有效期間。 | 重新發行有效期間大於自今天起算一年的憑證。如需管理憑證的資訊,請參閱 [管理私有 CA 生命週期](ca-lifecycle.md)。 | 否 |
| ValidationException | 請求中包含的憑證已過期。 | 服務接收時,用戶端裝置在每個交易上產生的暫時性憑證已過期。 | 您的用戶端裝置很可能未正確設定其時間設定,而且正在建立日期晚於即時的憑證。如果您無法解決此問題,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 請求包含無效的密碼編譯訊息語法。 | 服務無法解碼 SCEP 請求訊息。 | 檢查您的 SCEP 訊息是否符合 [SCEP RFC 8894 ](https://www.rfc-editor.org/rfc/rfc8894.html)中定義的密碼編譯訊息語法。如果您無法解決此問題,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 連接器未處於作用中狀態。 | 連接器的狀態為非**作用中**。 | 您可以在 主控台或 API 中的狀態欄位中找到連接器[的狀態](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why)。連接器的狀態可以是**建立**、**作用中**、**刪除**或**失敗**。如果正在**建立**狀態,請稍後嘗試您的請求。如果狀態**失敗**,請檢視故障診斷問題的狀態原因,然後建立新的連接器。 | 否 |
| ValidationException | 請求中必須包含有效的憑證。 | 來自用戶端的請求訊息中包含的暫時性憑證遺失或無效。 | 與 SCEP 相容的用戶端必須提供自我簽署的憑證來驗證自己。如果您的用戶端無法提供所需的自我簽署憑證,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 請求 URI 無效。 | 連接器 SCEP 無法剖析請求,因為請求的 URI 路徑或查詢無效。 | 管理員應驗證用戶端裝置的組態設定,通常透過行動裝置管理 (MDM) 系統進行管理。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 否 |
| ValidationException | 請求中需要一個主機標頭。 | 用戶端未在請求中提供有效的 HTTP 主機標頭,這是處理請求的必要項目。 | 需要 HTTP 主機標頭才能區分傳入不同連接器的請求。如果您的用戶端無法提供所需的 HTTP 主機標頭,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 無法解碼請求。請傳送有效的 SCEP 請求。 | 服務無法解碼和處理用戶端傳送的加密訊息語法 (CMS) 請求。 | 如果您的用戶端無法實作 SCEP,請記下回應中的請求 ID (`x-amzn-requestid`),並聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 否 |
| ValidationException | 回應無法使用衍生自請求的值進行編碼。請傳送有效的 SCEP 請求。 | 服務無法編碼 SCEP 回應。 | 當服務無法使用提供的請求者憑證來正確編碼 SCEP 回應訊息時,通常會發生此問題。例如,如果請求者憑證具有 SCEP 連接器不支援的橢圓曲線數位簽章演算法 (ECDSA) 金鑰,就可能會發生這種情況。 如果您遇到此問題,請先將 MDM 或 SCEP 用戶端設定為使用 RSA。如果您仍然無法解決問題,請記下回應中的請求 ID (`x-amzn-requestid`),並聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 不支援的演算法: | 請求已由不支援的密碼編譯演算法簽署或加密。 | 我們的服務不支援特定過時且較弱的密碼編譯演算法。此資訊會透過 `GetCACaps`請求傳達給用戶端。不過,有些用戶端可能不會使用此方法來檢查支援的演算法。 如果您的用戶端似乎與我們的服務支援的密碼編譯演算法不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
| ValidationException | 不支援的 PkiOperation messageType。 | 請求訊息包含無效的`PkiOperation`訊息類型,且服務無法處理。 | 我們的服務僅支援 RFC 8894 中定義的 SCEP 通訊協定訊息類型子集。具體而言,我們辨識並處理下列訊息類型:CertRep、PKCSReq、GetCert、GetCRL 和 CertPoll。 我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。不幸的是,有些用戶端可能並未使用此方法,而且可能不符合我們服務的功能。 如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 否 |
| BadRequestException | 挑戰密碼無效。 | 用戶端提供的挑戰密碼對已聯絡的服務端點及其相關聯的連接器無效。挑戰密碼是 SCEP 通訊協定中定義的必要安全措施,以確保只有授權的用戶端才能存取服務。 | 請確定您的用戶端在請求中提供正確的挑戰密碼。您可以在 主控台或 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API 的連接器詳細資訊中找到 。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 憑證簽署請求中需要一個挑戰密碼。 | 用戶端在請求中提供零或多個挑戰密碼。 | 請確定您的用戶端在其請求中提供了一個挑戰密碼。您可以在 主控台或透過 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API 在連接器的詳細資訊中找到挑戰密碼。如需詳細資訊,請參閱[步驟 2:將連接器詳細資訊複製到 MDM 系統](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details)。 | 是 |
| BadRequestException | 連接器無法存取 Azure。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。 | 設定 中詳述的許可[步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | Azure 應用程式無法存取 來執行 。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。這需要您授予 Connector for SCEP 存取 Azure 資源的許可。 | 設定 中詳述的許可[步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca)。 | 是 |
| BadRequestException | 找不到 Azure 應用程式。 | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤表示您的 Microsoft Entra ID 中沒有應用程式註冊,或連接器的 Intune 詳細資訊設定錯誤。 | 請遵循 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)主題中的指引。 | 是 |
| BadRequestException | Intune 憑證簽署請求驗證失敗。原因: | Connector for Microsoft Intune 透過 Microsoft Intune 授權用戶端請求。此錯誤訊息表示 Intune 驗證程序失敗,並提供對應的 Intune 錯誤碼。 | 請遵循 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)主題中的指引。如果您的問題仍然存在,請聯絡 Microsoft Support。 | 是 |
| BadRequestException | 不支援的 PkiOperation messageType: 。 | 請求訊息包含無效的訊息類型,且服務無法處理。 | 我們的服務僅支援 RFC 8894 中定義的 SCEP 通訊協定訊息類型子集。具體而言,我們辨識並處理下列訊息類型:CertRep、PKCSReq、GetCert、GetCRL 和 CertPoll。 我們透過 GetCACaps 方法將支援的訊息類型傳達給用戶端。不幸的是,有些用戶端可能並未使用此方法,而且可能不符合我們服務的功能。 如果您的用戶端似乎與我們的服務支援的 SCEP 訊息類型不相容,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/)。 | 是 |
| BadRequestException | 不支援金鑰演算法或長度。 | 服務不支援憑證簽署請求中包含的公有金鑰。 | 我們的服務僅支援高達 16,384 位元的標準 RSA 金鑰,以及高達 521 位元的 ECDSA 金鑰。如果您的用戶端需要使用目前不支援的演算法,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 是 |
## HTTP 401 未授權
401 未經授權的回應狀態碼表示用戶端請求尚未完成,因為其缺少所請求資源的有效身分驗證憑證。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| AccessDeniedException | 連接器無法存取憑證授權單位。 | Connector for SCEP 無法存取連接器相關聯的私有 CA。 | 使用 與 Connector for SCEP 共用您的私有 CA AWS Resource Access Manager。 | 否 |
| AccountDoesNotExistException | AWS 帳戶不存在。 | Connector for SCEP 資源不再存在。 | 擁有目標資源的帳戶已刪除。如果錯誤地這麼做,[AWS 支援](https://aws.amazon.com/contact-us/)請在關閉後 90 天內聯絡 。 | 否 |
## 找不到 HTTP 404
HTTP 404 回應碼通常表示找不到您要尋找的資源。
| 回應標頭 (x-amzn-ErrorType | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ResourceNotFoundException | 憑證授權機構不存在。 | 連接器的關聯私有 CA 已刪除。 | 有一個寬限期,在此期間,如果私有憑證授權機構 (CA) 被錯誤刪除,則可以將其還原。如需詳細資訊,請參閱[還原私有 CA](PCARestoreCA.md)。 | 否 |
| ResourceNotFoundException | 具有端點 的連接器不存在。 | 用戶端裝置已嘗試連線到不屬於任何現有連接器的 URL。 | 請確定您的用戶端為連接器提供正確的端點。若要檢視連接器的 `Endpoint`,請呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) API,或在主控台的連接器詳細資訊頁面中檢視它。 | 否 |
## HTTP 409 衝突
HTTP 409 衝突回應表示與連接器相關聯的私有 CA 在啟動請求後已變更。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ConflictException | 連接器自啟動請求以來已變更。 | 與連接器相關聯的私有 CA 已更新,觸發連接器內部憑證的輪換,用於透過 SCEP 與用戶端裝置通訊。 隨著新憑證的部署,此憑證輪換可能會在更新期間造成暫時性問題。不過,應該及時自動解決此錯誤。 | 請在幾分鐘後再次嘗試您的請求。如果問題無法解決,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 | 否 |
## HTTP 429 請求過多
Connector for SCEP 具有每個區域的帳戶層級配額。如果您超過對連接器的請求限制,您的請求將因 HTTP 429 錯誤而被拒絕。如果您需要增加配額,請參閱[AWS 私有憑證授權單位 端點和配額](https://docs.aws.amazon.com/general/latest/gr/pca.html)。
| 回應標頭 (x-amzn-ErrorType) | 錯誤訊息 (x-amzn-ErrorMessage) | 根本原因 | 修補 | 包含 SCEP 回應? |
| --- | --- | --- | --- | --- |
| ThrottlingException | 由於請求調節,因此請求遭到拒絕。 | 已向此連接器發出太多請求,觸發一些請求遭到拒絕。 隨著新憑證的部署,此憑證輪換可能會在更新期間造成暫時性問題。不過,應該及時自動解決此錯誤。 | 如果您超過對連接器的請求限制,您的請求將被拒絕。如果您需要增加配額,請參閱 [Connector for SCEP 端點和配額](https://docs.aws.amazon.com/general/latest/gr/pca.html)。 | 否 |
# Connector for SCEP 用戶端錯誤故障診斷
使用下列指引來疑難排解與 Connector for SCEP 相關的用戶端錯誤。
| 訊息範例 | 根本原因 | 解決方案 |
| --- | --- | --- |
| 不支援 ECDSA 金鑰 | 連接器連接到使用 ECDSA 金鑰而非 RSA 的私有 CA。雖然此服務支援 ECDSA 金鑰,但並非所有用戶端裝置都與此演算法相容。 | 請考慮使用 RSA 加密的私有 CA,而非 ECDSA。如果您建立使用 RSA 的私有 CA,則還需要建立新的連接器。連接器在生命週期內只能繫結至一個私有 CA。 |
| 加密或簽署憑證不存在 | 根據 RFC 8894,SCEP 服務會將中繼 CA 憑證傳回給用戶端。用戶端會使用這些憑證來執行加密和簽章驗證操作,做為 SCEP 通訊協定的一部分。 Connector for SCEP 使用相同的憑證進行加密和簽章驗證,這是常見的方法。不過,有些用戶端可能預期會有兩個不同的憑證。 | 如果您無法使用相容的用戶端,請聯絡 [AWS 支援](https://aws.amazon.com/contact-us/) 尋求協助。 |