本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对 Amazon 私有 CA Matter 兼容的证书错误进行故障排除
符合 Matter 的证书错误

[Matter 连接标准](https://github.com/project-chip/connectedhomeip)规定了可提高物联网（IoT）设备安全性和一致性的证书配置。有关创建符合 Matter 标准的根 CA、中间 CA 和终端实体证书的 Java 示例，请访问 [用于 Amazon 私有 CA 实现案件证书](API-CBR-intro.md)。

为了帮助进行故障排除，Matter 开发人员提供了一种名为 [chip-cert](https://github.com/project-chip/connectedhomeip/tree/master/src/tools/chip-cert) 的证书验证工具。下表列出了此工具报告的错误以及修正措施。


****  

| 错误代码 | 含义 | 修复 | 
| --- | --- | --- | 
|  0x00000305   |  `BasicConstraints`、`KeyUsage`、和 `ExtensionKeyUsage` 扩展必须标记为重要。  | 确保为使用案例选择正确的模板。 | 
|  0x00000050  |  必须存在授权密钥标识符扩展。  | Amazon 私有 CA 不在根证书上设置授权密钥标识符扩展名。您必须使用 CSR 生成一个 Base64 编码的AuthorityKeyIdentifier 值，然后将其传递给。[CustomExtension](https://docs.amazonaws.cn/privateca/latest/APIReference/API_CustomExtension.html)有关更多信息，请参阅[激活节点操作证书 (NOC) 的根 CA。](JavaApiCBC-ActivateRootCA.md)和[激活产品认证机构 (PAA)](JavaApiCBC-ProductAttestationAuthorityActivation.md)。 | 
| 0x0000004E | 证书已过期。 | 确保您使用的证书未过期。 | 
| 0x00000014 | 证书链验证失败。 |  如果您在不使用所提供的 [Java 示例的情况下尝试创建符合 Matter 的最终实体证书，则可能会遇到此错误，这些示例](API-CBR-intro.md)使用 Amazon 私有 CA API 来传递正确配置的。 KeyUsage 默认情况下， Amazon 私有 CA 生成九位 KeyUsage 扩展值，第九位生成一个额外的字节。在格式转换期间，Matter 会忽略额外的字节，导致链验证失败。但是，`APIPassthrough`模板[CustomExtension](https://docs.amazonaws.cn/privateca/latest/APIReference/API_CustomExtension.html)中的 a 可用于设置`KeyUsage`值中的确切字节数。有关示例，请参阅[创建节点操作证书 (NOC)](JavaApiCBC-NodeOperatingCertificate.md)。 如果您修改示例代码或使用 OpenSSL 等其他 X.509 实用程序，则需要执行手动验证以避免链验证错误。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/privateca/latest/userguide/TroubleshootPcaMatter.html)  |