Questa pagina è stata tradotta dall'API Cloud Translation.

Il certificato CA mTLS di Ingress non è valido

Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Non esiste documentazione equivalente di Apigee Edge per questo argomento.

Sintomo

Un ApigeeIssue con Reason AIS_INGRESS_MTLS_CA_CERT_INVALID viene visualizzato quando visualizzi le risorse nello spazio dei nomi apigee.

Messaggi di errore

Dopo aver eseguito kubectl -n apigee get apigeeissues, viene visualizzato un errore simile al seguente:

NAME                                    SEVERITY   REASON                             DOCUMENTATION                                                                                  AGE
ca-cert-invalid-my-org-my-virtualhost   ERROR      AIS_INGRESS_MTLS_CA_CERT_INVALID   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID   5h18m

Cause possibili

Causa	Descrizione
Il certificato CA mTLS di ingresso non è codificato in PEM	Il certificato CA mTLS di ingresso configurato non è codificato in PEM.
Il certificato CA mTLS di ingresso non è valido	Il certificato CA mTLS di ingresso configurato ha un formato non valido.

Causa: il certificato CA mTLS di ingresso non è con codifica PEM

Al certificato CA mTLS di ingresso archiviato nel secret Kubernetes a cui fa riferimento un ApigeeRouteConfig mancano i blocchi di testo con codifica PEM (o sono formattati in modo errato).

Diagnosi

Esegui questo comando:

kubectl -n apigee describe apigeeissue ISSUE_NAME

dove ISSUE_NAME è il nome del problema. Ad esempio, ca-cert-invalid-my-org-my-virtualhost.

L'output dovrebbe essere simile al seguente:

Name:         ca-cert-invalid-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID
  Reason:         AIS_INGRESS_MTLS_CA_CERT_INVALID
  Severity:       ERROR
Events:           <none>

Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is not PEM encoded

I contenuti di Spec.Details spiegano il nome di ApigeeRouteConfig che fa riferimento al segreto Kubernetes contenente il certificato CA mTLS di ingresso non codificato in PEM.

Risoluzione

Utilizza kubectl describe per visualizzare il nome del ApigeeRouteConfig che ha il certificato CA mTLS di ingresso non codificato in PEM:
```
kubectl -n apigee describe apigeeissue ISSUE_NAME
```
dove ISSUE_NAME è il nome del problema. Ad esempio, ca-cert-invalid-my-org-my-virtualhost.

In questo esempio, ApigeeRouteConfig my-org-my-virtualhost fa riferimento al secret my-org-my-virtualhost.
Determina il nome virtualhost dal ApigeeRouteConfig.

Il nome del ApigeeRouteConfig è nel formato: <Apigee organization>-<virtualhost name>.

In questo esempio, my-org è l'organizzazione Apigee e il nome del virtualhost è my-virtualhost.

Trova il virtualhost corrispondente in overrides.yaml.

virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  caCertPath: ./certs/ca.pem
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

Convalida i contenuti del file fornito tramite il percorso dichiarato in caCertPath. Assicurati che i contenuti contengano i blocchi di certificato iniziale e finale richiesti. Ad esempio:
```
-----BEGIN CERTIFICATE-----
MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL
... <contents omitted> ...
eWJyaWQuZTJlLmFwaWdlZWtzLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
MMM=
-----END CERTIFICATE-----
```
Suggerimento: utilizza openssl per convalidare il certificato CA.

Una volta corretti i contenuti e il formato del file, applica la modifica al virtualhost:

helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace apigee \
  --set envgroup=ENV_GROUP_NAME \
  -f overrides.yaml

Causa: il certificato CA mTLS di Ingress non è valido

Il certificato CA mTLS di ingresso archiviato nel secret Kubernetes a cui fa riferimento un ApigeeRouteConfig non è valido.

Diagnosi

Esegui questo comando:

kubectl -n apigee describe apigeeissue ISSUE_NAME

dove ISSUE_NAME è il nome del problema. Ad esempio, ca-cert-invalid-my-org-my-virtualhost.

L'output dovrebbe essere simile al seguente:

Name:         ca-cert-invalid-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_MTLS_CA_CERT_INVALID
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_MTLS_CA_CERT_INVALID
  Reason:         AIS_INGRESS_MTLS_CA_CERT_INVALID
  Severity:       ERROR
Events:           <none>

Spec:
  Details:        CA certificate in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" is invalid

I contenuti di Spec.Details spiegano il nome di ApigeeRouteConfig che fa riferimento al segreto Kubernetes contenente il certificato CA mTLS di ingresso con formato non valido e non analizzato.

Risoluzione

Utilizza kubectl describe per visualizzare il nome del ApigeeRouteConfig il cui certificato CA mTLS di ingresso non è valido:
```
kubectl -n apigee describe apigeeissue ISSUE_NAME
```
dove ISSUE_NAME è il nome del problema. Ad esempio, ca-cert-invalid-my-org-my-virtualhost.

In questo esempio, ApigeeRouteConfig my-org-my-virtualhost fa riferimento al secret my-org-my-virtualhost.
Determina il nome virtualhost dal ApigeeRouteConfig.

Il nome del ApigeeRouteConfig è nel formato: <Apigee organization>-<virtualhost name>.

In questo esempio, my-org è l'organizzazione Apigee e il nome del virtualhost è my-virtualhost.

Trova il virtualhost corrispondente in overrides.yaml.

virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  caCertPath: ./certs/ca.pem
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

Convalida i contenuti del file fornito tramite il percorso dichiarato in caCertPath. Assicurati che i contenuti contengano l'intero certificato. Ad esempio:

-----BEGIN CERTIFICATE-----
MIIDYTCCAkmgAwIBAgIUSXeU0pQYRFzYlqZpKhNNJdBLFBIwDQYJKoZIhvcNAQEL
BQAwQDE+MDwGA1UEAww1bWF4bWlsbGlvbi1oeWJyaWQtc3RhZ2luZy1kZXYuaHli
... <contents omitted> ...
0TPPaik8U9dtFXMGT1DJkjPRPO0Jw5rlU8DKlNA/Kkv52aKJZNwB/cwmvoa/BFji
PIPa9wY=
-----END CERTIFICATE-----

Suggerimento: utilizza openssl per convalidare il certificato CA.

Una volta corretti i contenuti e il formato del file, applica la modifica al virtualhost:

helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace apigee \
  --set envgroup=ENV_GROUP_NAME \
  -f overrides.yaml

Deve raccogliere informazioni di diagnostica

Se il problema persiste anche dopo aver seguito le istruzioni riportate sopra, raccogli le seguenti informazioni di diagnostica e poi contatta l'assistenza clienti Google Cloud:

L'ID progetto Google Cloud.
Il nome dell'organizzazione Apigee hybrid.
Il campo Spec.Details di ApigeeIssue.
(Facoltativo) File a cui fa riferimento caCertPath per il virtualhost interessato.