Dépannage
Cette page explique comment résoudre les problèmes courants liés à Certificate Authority Service.
La requête API renvoie le message HTTP 403 (Accès interdit)
Si une requête API renvoie la réponse HTTP 403 (Accès interdit) avec le message Read access to project PROJECT_NAME was denied
, utilisez la résolution suivante.
Solution
- Vérifiez les autorisations IAM du demandeur.
- Vérifiez l'emplacement de la requête. Les régions non compatibles peuvent renvoyer une erreur "Autorisation refusée". Pour en savoir plus sur les zones géographiques acceptées, consultez la section Zones géographiques.
La suppression d'une autorité de certification renvoie la condition préalable HTTP 412 "Failed Precondition"
Si les erreurs de condition préalable requises suivantes s'affichent lors de la suppression d'une autorité de certification, utilisez la résolution présentée dans cette section.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Solution
Pour être supprimée, une autorité de certification doit être à l'état DISABLED
ou STAGED
. Vérifiez l'état de votre autorité de certification avant de planifier sa suppression. Pour en savoir plus sur les états des autorités de certification, consultez la section États des autorités de certification.
Échec de l'émission du certificat
CA Service fournit plusieurs contrôles de stratégie que vous pouvez utiliser pour gérer l'émission de certificats. Pour en savoir plus sur les contrôles des stratégies, consultez la page Présentation des modèles de certificat et des règles d'émission.
L'émission d'un certificat peut échouer pour plusieurs raisons. Voici quelques-unes de ces raisons.
Conflit entre la stratégie d'émission de certificats du pool d'autorités de certification et le modèle de certificat.
Par exemple, supposons que la règle d'émission définit une extension
foo
et lui attribue la valeurbar
. Le modèle de certificat définit l'extensionfoo
et lui attribue la valeurbat
. L'attribution de deux valeurs différentes à la même extension crée un conflit.Solution
Examinez la stratégie d'émission de certificats du pool d'autorités de certification par rapport au modèle de certificat, puis identifiez et résolvez les conflits.
Pour en savoir plus sur les règles d'émission, consultez Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.
Les noms de substitution de l'objet ou de l'objet (SAN, Subject Alternative Names) échouent à l'évaluation de l'expression CEL dans le modèle de certificat ou la stratégie d'émission de certificats du pool d'autorités de certification.
Solution
Examinez la stratégie d'émission de certificats et le modèle de certificat du pool d'autorités de certification, et assurez-vous que l'objet et le SAN remplissent les conditions définies par les expressions CEL (Common Expression Language). Pour en savoir plus sur les expressions CEL, consultez la page Utiliser le langage d'expression courant.
Rôle IAM attribué incorrect pour un cas d'utilisation Par exemple, vous pouvez attribuer le rôle
roles/privateca.certificateRequester
pour l'identité reflétée ou le rôleroles/privateca.workloadCertificateRequester
pour le mode d'identité par défaut.Solution
Vérifiez que vous avez attribué le rôle
roles/privateca.certificateRequester
pour le mode d'identité par défaut et le rôleroles/privateca.workloadCertificateRequester
pour l'identité reflétée. Pour en savoir plus sur l'utilisation de la réflexion d'identité, consultez Réflexion de l'identité pour les charges de travail fédérées.Tentative d'utilisation du mode d'identité reflétée dans un scénario non compatible, par exemple sans l'identité de charge de travail Hub. Un scénario non pris en charge pour la réflexion d'identité renvoie le message d'erreur suivant:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Solution
Déterminez le type d'identité à utiliser: l'identité par défaut ou l'identité reflétée. Si vous devez vous servir de l'identité reflétée, assurez-vous de l'utiliser dans l'un des scénarios compatibles. Pour en savoir plus sur la réflexion d'identité, consultez la section Réflexion de l'identité pour les charges de travail fédérées.
La restriction de taille de clé par défaut refuse les clés RSA dont la taille de module est inférieure à 2 048 bits.
Les bonnes pratiques du secteur recommandent d'utiliser une clé RSA d'au moins 2 048 bits. Par défaut, CA Service empêche l'émission de certificats à l'aide d'une clé RSA dont la taille de module est inférieure à 2 048 bits.
Solution
Si vous souhaitez utiliser une clé RSA avec une taille de module inférieure à 2 048 bits, vous devez l'autoriser explicitement à l'aide de la stratégie d'émission de certificats. Utilisez l'exemple YAML suivant pour autoriser ces clés RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024