处理异常 - AWS Certificate Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

处理异常

AWS Certificate Manager 命令可能出于几个原因而失败。有关每个异常的信息,请参阅下表。

私有证书异常处理

当您尝试续订由 AWS 私有 CA 颁发的私有 PKI 证书时,可能会出现以下异常。

注意

中国(北京)区域和中国(宁夏)区域不支持 AWS 私有 CA。

ACM 故障代码

注释

PCA_ACCESS_DENIED

私有 CA 未授予 ACM 权限。这将触发 AWS 私有 CA AccessDeniedException 故障代码。

若要解决此问题,请使用 AWS 私有 CA CreatePermission 操作向 ACM 服务主体授予必要的权限。

PCA_INVALID_DURATION

请求的证书的有效期超过了颁发的私有 CA 的有效期。这将触发 AWS 私有 CA ValidationException 故障代码。

要解决此问题,请安装新 CA 证书(具有适当的有效期)。

PCA_INVALID_STATE

将调用的私有 CA 未处于执行请求的 ACM 操作所需的正确状态。这将触发 AWS 私有 CA InvalidStateException 故障代码。

按如下方式解决此问题:

  • 如果 CA 的状态为 CREATING,请等待创建操作完成,然后安装 CA 证书。

  • 如果 CA 的状态为 PENDING_CERTIFICATE,请安装 CA 证书。

  • 如果 CA 的状态为 DISABLED,请将其更新为 ACTIVE 状态。

  • 如果 CA 的状态为 DELETED,请将其还原。

  • 如果 CA 的状态为 EXPIRED,请安装新证书

  • 如果 CA 的状态为 FAILED,而您无法解决问题,请联系 AWS Support

PCA_LIMIT_EXCEEDED

私有 CA 已达到颁发配额。这将触发 AWS 私有 CA LimitExceededException 故障代码。在继续使用此帮助之前,请尝试重复您的请求。

如果错误仍然存在,请联系 AWS Support 以请求提高配额。

PCA_REQUEST_FAILED

网络或系统出错。这将触发 AWS 私有 CA RequestFailedException 故障代码。在继续使用此帮助之前,请尝试重复您的请求。

如果错误仍然存在,请联系 AWS Support

PCA_RESOURCE_NOT_FOUND

私有 CA 已被永久删除。这将触发 AWS 私有 CA ResourceNotFoundException 故障代码。验证是否使用了正确的 ARN。如果验证失败,您将无法使用此 CA。

要解决此问题,请创建新 CA

SLR_NOT_FOUND 为了续订由位于另一个账户中的私有 CA 签名的证书,ACM 要求证书所在的账户上具有服务关联角色 (SLR)。如果需要重新创建已删除的 SLR,请参阅 为 ACM 创建 SLR