本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對 的問題進行故障診斷 AWS 私有憑證授權單位
如果您在使用 AWS 私有憑證授權單位時遇到問題,請參閱下列主題。
**Topics**
+ [憑證撤銷問題](troubleshoot-certificate-revocation.md)
+ [例外狀況訊息](PCATsExceptions.md)
+ [符合事項的憑證錯誤](TroubleshootPcaMatter.md)
# 對 AWS 私有 CA 憑證撤銷問題進行故障診斷
## OCSP 回應延遲
如果發起人與區域節點快取或發行 CA 的區域有地理距離,則 OCSP 回應速度可能會較慢。如需區域節點快取可用性的詳細資訊,請參閱 [Global Edge Network](https://aws.amazon.com/cloudfront/details#Global_Edge_Network)。建議您在附近使用憑證的區域發行憑證。
## 撤銷自我簽署憑證
您無法撤銷自我簽署的 CA 憑證。若要在功能上撤銷憑證,請刪除 CA。
# 對 AWS 私有憑證授權單位 例外狀況訊息進行故障診斷
AWS 私有 CA 命令可能會因為多種原因而失敗。如需每個例外狀況及解決這些例外狀況的建議相關資訊,請參閱下表。
**AWS 私有 CA 例外狀況**
| 傳回的例外狀況 AWS 私有 CA | Description | 修補 |
| --- | --- | --- |
| `AccessDeniedException` | 使用指定命令所需的許可,尚未由私有 CA 委派給呼叫帳戶。 | 如需在 中委派許可的資訊 AWS 私有 CA,請參閱 [將憑證續約許可指派給 ACM](assign-permissions.md#PcaPermissions)。 |
| `InvalidArgsException` | 使用了無效參數來發出建立或更新憑證的請求。 | 請檢查命令的個別文件,以確認您的輸入參數有效。如果您正在建立新憑證,請確認請求的簽署演算法可與 CA 的金鑰類型搭配使用。 |
| `InvalidStateException` | 因為相關聯的私有 CA 未處於 ACTIVE 狀態,所以無法更新憑證。 | 嘗試[還原私有 CA](PCARestoreCA.md)。如果私有 CA 不在其還原期間內,則無法還原 CA,也無法更新憑證。 |
| `LimitExceededException` | 每個憑證授權機構 (CA) 都有可發行的憑證配額。與指定憑證相關聯的私有 CA 已達到其配額上限。如需詳細資訊,請參閱《 AWS 一般參考 指南》中的 [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。 | 請聯絡 [AWS 支援 中心](https://aws.amazon.com/premiumsupport/)以請求提高配額。 |
| `MalformedCSRException` | AWS 私有 CA 無法確認或驗證提交的憑證簽署請求 (CSR)。 | 請確認您的 CSR 已正確產生及設定。 |
| `OtherException` | 發生內部錯誤而導致請求失敗。 | 請嘗試重新執行命令。如果問題仍然存在,請聯絡 [AWS 支援 中心](https://aws.amazon.com/premiumsupport/)。 |
| `RequestFailedException` | 您 AWS 環境中的聯網問題導致請求失敗。 | 重試 請求。如果故障仍然存在,請檢查您的 [Amazon VPC (VPC) 組態](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。 |
| `ResourceNotFoundException` | 發出憑證的私有 CA 已刪除,且已不存在。 | 向另一個有效的 CA 請求新憑證。 |
| `ThrottlingException` | 請求的 API 動作因超過配額而失敗。 | 確認您發出的呼叫次數不超過 允許的次數 AWS 私有 CA。 您遇到暫時性狀況 (而非超過配額) 時,也可能導致發生 `ThrottlingException` 錯誤。如果您發生該錯誤,且發出的呼叫數未超過配額,請重試請求。 如果您即將達到配額上限,您可能可以請求提高配額。如需詳細資訊,請參閱《 AWS 一般參考 指南》中的 [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。 |
| `ValidationException` | 請求的輸入參數格式不正確,或根憑證有效期的結束時間早於請求的憑證有效期結束時間。 | 請檢查命令的輸入參數語法要求,以及 CA 根憑證的有效期。如需如何變更有效期的資訊,請參閱[在 中更新私有 CA AWS 私有憑證授權單位](PCAUpdateCA.md)。 |
# 故障診斷符合 AWS 私有 CA 事項的憑證錯誤
[事項連線標準](https://github.com/project-chip/connectedhomeip)指定憑證組態,以提高物聯網 (IoT) 裝置的安全性和一致性。用於建立符合事項的根 CA、中繼 CA 和終端實體憑證的 Java 範例可在 找到[使用 AWS 私有 CA 實作事項憑證](API-CBR-intro.md)。
為了協助故障診斷,Matter 開發人員提供名為 [chip-cert](https://github.com/project-chip/connectedhomeip/tree/master/src/tools/chip-cert) 的憑證驗證工具。工具報告的錯誤會列在下表中並搭配修補。
****
| 錯誤碼 | 意義 | 修補 |
| --- | --- | --- |
| 0x00000305 | `BasicConstraints`、 `KeyUsage`和 `ExtensionKeyUsage`延伸必須標記為關鍵。 | 請確定您已為使用案例選取正確的範本。 |
| 0x00000050 | 授權單位金鑰識別符延伸必須存在。 | AWS 私有 CA 不會在根憑證上設定授權金鑰識別符延伸。您必須使用 CSR 產生 Base64-encoded的 AuthorityKeyIdentifier 值,然後將其傳遞至 [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html)。如需詳細資訊,請參閱[為節點操作憑證 (NOC) 啟用根 CA。](JavaApiCBC-ActivateRootCA.md)及[啟用產品認證授權機構 (PAA)](JavaApiCBC-ProductAttestationAuthorityActivation.md)。 |
| 0x0000004E | 憑證已過期。 | 確保您使用的憑證未過期。 |
| 0x00000014 | 憑證鏈驗證失敗。 | 如果您嘗試建立符合事項的終端實體憑證而不使用提供的 [Java 範例](API-CBR-intro.md),使用 AWS 私有 CA API 傳遞正確設定的 KeyUsage,則可能會發生此錯誤。 根據預設, AWS 私有 CA 會產生九位元 KeyUsage 延伸值,第九位元會產生額外的位元組。在格式轉換期間,Matter 會忽略額外的位元組,導致鏈結驗證失敗。不過,`APIPassthrough`範本中的 [CustomExtension](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CustomExtension.html) 可用來設定`KeyUsage`值中的確切位元組數。如需範例,請參閱 [建立節點操作憑證 (NOC)](JavaApiCBC-NodeOperatingCertificate.md)。 如果您修改範例程式碼或使用替代 X.509 公用程式,例如 OpenSSL,則需要執行手動驗證,以避免鏈驗證錯誤。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/TroubleshootPcaMatter.html) |