As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solucionar erros de HTTP do Connector for SCEP
Quando seu cliente aciona uma ação da API de plano de dados do Connector for SCEP e isso resultar em um erro, o Connector for SCEP envia um código de resposta HTTP ao cliente solicitante com informações sobre o erro.
Além das respostas de serviço fornecidas diretamente aos seus clientes, você pode usar as ferramentas de monitoramento descritas na Conector de monitor para SCEP seção para visualizar e depurar erros que resultam em um erro HTTP.
A seguir estão as mensagens de erro retornadas pelo serviço aos clientes SCEP, as possíveis causas e as etapas que você pode seguir para resolver os problemas.
Solicitação incorreta de HTTP 400
Um código de resposta HTTP 400 significa que o Connector for SCEP não pode processar a solicitação devido a um aparente erro do cliente, como dados ausentes ou inválidos na solicitação. Se o erro resultar de um erro específico do protocolo SCEP, o Connector for SCEP incluirá a resposta do SCEP como um binário na mensagem. O Connector for SCEP APIs pode retornar 400 respostas por qualquer um dos seguintes motivos.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui resposta SCEP? |
|---|---|---|---|---|
|
LimitExceededException |
Limite de emissão da autoridade certificadora excedido. |
A autoridade de certificação (CA) privada associada ao conector excedeu sua cota para o número de certificados que pode emitir. |
Um conector SCEP só pode ser conectado a uma CA privada durante sua vida útil. Se você esgotou os limites da sua CA privada, crie um novo conector ou solicite um aumento de cota. Para obter mais informações sobre cotas privadas de CA, consulte AWS Private Certificate Authority cotas. |
Não |
|
ValidationException |
A solicitação deve conter base64. |
O conector para SCEP não pode processar a solicitação HTTP GET porque o corpo não é Base64 válido. |
Se possível, configure seus clientes para usar mensagens HTTP POST em vez de mensagens HTTP GET. Se você precisar usar HTTP GET, as mensagens deverão usar o formato Base64. Se seus clientes forem incompatíveis com esses requisitos, entre em contato AWS Support |
Não |
|
ValidationException |
A autoridade de certificação não está ativa. |
A CA privada associada ao conector está inativa. |
Reative a CA privada. Para mais informações, consulte Atualizar uma CA privada em AWS Private Certificate Authority. |
Não |
|
ValidationException |
A validade do certificado da autoridade certificadora deve ser de pelo menos um ano a partir de hoje. |
A CA privada associada ao conector de uso geral deve ter um período de validade de um ano a partir de hoje. |
Reemita o certificado com um período de validade superior a um ano a partir de hoje. Para obter informações sobre o gerenciamento de certificados, consulteGerencie o ciclo de vida privado da CA . |
Não |
|
ValidationException |
O certificado incluído na solicitação expirou. |
O certificado transitório gerado pelo dispositivo do cliente em cada transação expirou na recepção pelo serviço. |
É muito provável que seus dispositivos cliente não tenham suas configurações de horário configuradas corretamente e estejam criando certificados com datas atrasadas em relação ao tempo real. Se você não conseguir resolver esse problema, entre em contato AWS Support |
Não |
|
ValidationException |
A solicitação contém uma sintaxe de mensagem criptográfica inválida. |
O serviço não conseguiu decodificar a mensagem de solicitação SCEP. |
Verifique se suas mensagens SCEP estão em conformidade com a sintaxe de mensagem criptográfica definida no SCEP RFC 8894. |
Não |
|
ValidationException |
O conector não está ativo. |
O status do conector não está ativo. |
Você pode encontrar o status de um conector no console ou no campo Status na API. O status de um conector pode ser criação, ativação, exclusão ou falha. Se o status estiver sendo criado, tente sua solicitação mais tarde. Se o status falhar, veja o motivo do status para solucionar o problema e, em seguida, crie um novo conector. |
Não |
|
ValidationException |
Deve haver um certificado válido incluído na solicitação. |
O certificado transitório incluído na mensagem de solicitação do cliente estava ausente ou era inválido. |
Os clientes compatíveis com o SCEP devem fornecer um certificado autoassinado para se autenticarem. Se seu cliente não conseguir fornecer o certificado autoassinado necessário, entre em contato AWS Support |
Não |
|
ValidationException |
O URI da solicitação é inválido. |
O conector para SCEP não pode analisar a solicitação porque o caminho do URI ou a consulta da solicitação são inválidos. |
Os administradores devem verificar as configurações dos dispositivos cliente, que normalmente são gerenciados por meio de um sistema de gerenciamento de dispositivos móveis (MDM). Para obter mais informações, consulte Etapa 2: Copie os detalhes do conector em seu sistema MDM. |
Não |
|
ValidationException |
É necessário exatamente um cabeçalho de host na solicitação. |
O cliente não forneceu um cabeçalho HTTP Host válido na solicitação, o que é necessário para que a solicitação seja processada. |
O cabeçalho do host HTTP é necessário para distinguir as solicitações que chegam a conectores diferentes. Se seu cliente não conseguir fornecer o cabeçalho de host HTTP necessário, entre em contato AWS Support |
Não |
|
ValidationException |
A solicitação não pôde ser decodificada. Envie uma solicitação SCEP válida. |
O serviço não conseguiu decodificar e processar a solicitação de sintaxe de mensagem criptográfica (CMS) enviada pelo seu cliente. |
Se seus clientes estão tendo problemas com nossa implementação do SCEP, anote o ID da solicitação ( |
Não |
|
ValidationException |
A resposta não pôde ser codificada com valores derivados da solicitação. Envie uma solicitação SCEP válida. |
O serviço não conseguiu codificar a resposta do SCEP. |
Esse problema geralmente ocorre quando o serviço não consegue usar o certificado de solicitante fornecido para codificar adequadamente a mensagem de resposta do SCEP. Isso pode acontecer, por exemplo, se o certificado do solicitante tiver uma chave de algoritmo de assinatura digital de curva elíptica (ECDSA), que o Connector for SCEP não suporta. Se você encontrar esse problema, primeiro configure seu cliente MDM ou SCEP para usar RSA. Se você ainda não conseguir resolver o problema, anote o ID da solicitação ( |
Não |
|
ValidationException |
Algoritmo não suportado: <OID> |
A solicitação foi assinada ou criptografada por um algoritmo criptográfico incompatível. |
Nosso serviço não oferece suporte a determinados algoritmos criptográficos desatualizados e fracos. Essas informações são comunicadas aos clientes por meio da Se seus clientes parecerem incompatíveis com os algoritmos criptográficos suportados por nosso serviço, entre em contato AWS Support |
Não |
|
ValidationException |
PkiOperation MessageType não suportado. |
A mensagem de solicitação continha um tipo de |
Nosso serviço suporta somente um subconjunto dos tipos de mensagem do protocolo SCEP definidos na RFC 8894. Especificamente, reconhecemos e processamos os seguintes tipos de mensagem: CertRep PKCSReq, GetCert,, GetCRL e. CertPoll Comunicamos os tipos de mensagens compatíveis aos clientes por meio do CACaps método Get. Infelizmente, alguns clientes podem não estar utilizando esse método e podem não estar em conformidade com os recursos do nosso serviço. Se seus clientes parecerem incompatíveis com os tipos de mensagem SCEP suportados pelo nosso serviço, entre em contato. AWS Support |
Não |
|
BadRequestException |
A senha do desafio é inválida. |
A senha de desafio fornecida pelo cliente era inválida para o endpoint de serviço contatado e seu conector associado. A senha de desafio é uma medida de segurança necessária definida no protocolo SCEP para garantir que somente clientes autorizados possam acessar o serviço. |
Certifique-se de que seu cliente esteja fornecendo a senha de desafio correta em sua solicitação. Você pode encontrar os detalhes do conector no console ou por meio da GetChallengePasswordAPI. Para obter mais informações, consulte Etapa 2: Copie os detalhes do conector em seu sistema MDM. |
Sim |
|
BadRequestException |
É necessária exatamente uma senha de desafio na solicitação de assinatura do certificado. |
O cliente forneceu zero ou várias senhas de desafio em sua solicitação. |
Certifique-se de que seu cliente esteja fornecendo uma senha de desafio em sua solicitação. Você pode encontrar senhas de desafio nos detalhes do conector no console ou por meio da GetChallengePasswordAPI. Para obter mais informações, consulte Etapa 2: Copie os detalhes do conector em seu sistema MDM. |
Sim |
|
BadRequestException |
O conector não tem acesso ao Azure. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Isso requer que você conceda permissão para que o Connector for SCEP acesse seus recursos do Azure. |
Configure as permissões detalhadas emEtapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra ID. |
Sim |
|
BadRequestException |
O aplicativo Azure não tem acesso para executar<action>. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Isso requer que você conceda permissão para que o Connector for SCEP acesse seus recursos do Azure. |
Configure as permissões detalhadas emEtapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra ID. |
Sim |
|
BadRequestException |
O aplicativo Azure não foi encontrado. |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Esse erro indica que você não tem um registro de aplicativo em seu Microsoft Entra ID ou que os detalhes do Intune do seu conector estão configurados incorretamente. |
Siga as orientações do Configurar o Microsoft Intune for Connector for SCEP tópico. |
Sim |
|
BadRequestException |
Falha na validação da solicitação de assinatura do certificado do Intune. Motivo: <reason> |
O Connector for Microsoft Intune autoriza solicitações de clientes por meio do Microsoft Intune. Essa mensagem de erro indica que o processo de validação do Intune falhou e o código de erro correspondente do Intune foi fornecido. |
Siga as orientações do Configurar o Microsoft Intune for Connector for SCEP tópico. Se o problema persistir, entre em contato com o Suporte da Microsoft. |
Sim |
|
BadRequestException |
PkiOperation <message type>MessageType não suportado:. |
A mensagem de solicitação continha um tipo de mensagem inválido e não pôde ser processada pelo serviço. |
Nosso serviço suporta somente um subconjunto dos tipos de mensagem do protocolo SCEP definidos na RFC 8894. Especificamente, reconhecemos e processamos os seguintes tipos de mensagem: CertRep PKCSReq, GetCert,, GetCRL e. CertPoll Comunicamos os tipos de mensagens compatíveis aos clientes por meio do CACaps método Get. Infelizmente, alguns clientes podem não estar utilizando esse método e podem não estar em conformidade com os recursos do nosso serviço. Se seus clientes parecerem incompatíveis com os tipos de mensagem SCEP suportados pelo nosso serviço, entre em contato. AWS Support |
Sim |
|
BadRequestException |
O algoritmo ou o comprimento da chave não são suportados. |
O serviço não oferece suporte à chave pública fornecida incluída na solicitação de assinatura do certificado. |
Nosso serviço suporta somente chaves RSA padrão de até 16.384 bits e chaves ECDSA de até 521 bits. Se seus clientes precisarem do uso de um algoritmo atualmente não suportado, entre em contato AWS Support |
Sim |
HTTP 401 Não autorizado
Um código de status de resposta “401 Não autorizado” indica que a solicitação do cliente não foi concluída porque não tem credenciais de autenticação válidas para o recurso solicitado.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui resposta SCEP? |
|---|---|---|---|---|
|
AccessDeniedException |
O conector não tem acesso à autoridade de certificação. |
O conector para SCEP não tem acesso à CA privada associada ao conector. |
Compartilhe sua CA privada com o Connector for SCEP usando. AWS Resource Access Manager |
Não |
|
AccountDoesNotExistException |
A AWS conta não existe. |
O recurso Connector for SCEP não existe mais. |
A conta proprietária do recurso de destino foi excluída. Se isso foi feito por engano, entre em contato AWS Support |
Não |
HTTP 404 não encontrado
Um código de resposta HTTP 404 geralmente significa que o recurso que você estava procurando não foi encontrado.
| Cabeçalho de resposta (x-amzn- ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui resposta SCEP? |
|---|---|---|---|---|
|
ResourceNotFoundException |
A autoridade de certificação não existe. |
A CA privada associada ao conector foi excluída. |
Há um período de carência durante o qual uma Autoridade Certificadora (CA) privada pode ser restaurada caso tenha sido excluída por engano. Para obter mais informações, consulte Restaurar uma CA privada. |
Não |
|
ResourceNotFoundException |
<URL>Não existe um conector com endpoint. |
O dispositivo cliente tentou se conectar a uma URL que não pertence a nenhum conector existente. |
Certifique-se de que seu cliente esteja fornecendo o endpoint correto para o conector. Para ver o conector |
Não |
Conflito HTTP 409
Uma resposta HTTP 409 Conflict sinaliza que uma CA privada associada a um conector foi alterada desde que a solicitação foi iniciada.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui resposta SCEP? |
|---|---|---|---|---|
|
ConflictException |
O conector mudou desde que a solicitação foi iniciada. |
A CA privada associada ao conector foi atualizada, acionando uma rotação do certificado interno do conector usado para comunicação com dispositivos clientes via SCEP. Essa rotação de certificados pode resultar em problemas temporários durante o período de atualização, à medida que o novo certificado está sendo implantado. No entanto, esse erro deve ser resolvido automaticamente em tempo hábil. |
Tente fazer sua solicitação novamente em alguns minutos. Se o problema não for resolvido, entre em contato AWS Support |
Não |
HTTP 429 Muitas solicitações
O Connector for SCEP tem cotas em nível de conta, por região. Se você exceder o limite de solicitações para um conector, suas solicitações serão negadas com um erro HTTP 429. Se você precisar aumentar sua cota, consulte AWS Private Certificate Authority endpoints e cotas.
| Cabeçalho de resposta (x-amzn-) ErrorType | Mensagem de erro (x-amzn-) ErrorMessage | Causa raiz | Correção | Inclui resposta SCEP? |
|---|---|---|---|---|
|
ThrottlingException |
A solicitação foi negada devido à limitação da solicitação. |
Muitas solicitações foram emitidas para esse conector, fazendo com que algumas solicitações fossem negadas. Essa rotação de certificados pode resultar em problemas temporários durante o período de atualização, à medida que o novo certificado está sendo implantado. No entanto, esse erro deve ser resolvido automaticamente em tempo hábil. |
Se você exceder o limite de solicitações para um conector, suas solicitações serão negadas. Se você precisar aumentar sua cota, consulte Conector para endpoints e cotas SCEP. |
Não |
