Risoluzione dei problemi
Questa pagina mostra come risolvere i problemi comuni relativi a Certificate Authority Service.
La richiesta API restituisce HTTP 403 Forbidden
Se una richiesta API restituisce HTTP 403 Forbidden con il messaggio Read access to project PROJECT_NAME was denied
, utilizza la seguente risoluzione.
Risoluzione
- Controlla le autorizzazioni IAM del richiedente.
- Controlla la posizione della richiesta. Le regioni non supportate possono restituire un errore di autorizzazione negata. Per ulteriori informazioni sulle località supportate, vedi Località.
L'eliminazione di una CA restituisce la precondizione HTTP 412 non riuscita
Se durante l'eliminazione di una CA vengono visualizzati i seguenti errori di pre-condizione non riuscita, utilizza la risoluzione descritta in questa sezione.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Risoluzione
Per poter essere eliminata, una CA deve essere in stato DISABLED
o STAGED
. Verifica lo stato della CA prima di pianificarne l'eliminazione. Per ulteriori informazioni, consulta la sezione Stati delle CA.
Errore di emissione del certificato
CA Service offre diversi controlli dei criteri che puoi utilizzare per gestire l'emissione dei certificati. Per saperne di più sui controlli dei criteri, consulta la Panoramica dei modelli di certificati e dei criteri di emissione.
L'emissione del certificato può non riuscire per diversi motivi. Ecco alcuni di questi motivi.
Conflitto tra il criterio di emissione dei certificati del pool di CA e il modello di certificato.
Ad esempio, tieni presente che il criterio di emissione definisce un'estensione
foo
e le assegna il valorebar
, mentre il modello di certificato definisce l'estensionefoo
e le assegna il valorebat
. L'assegnazione di due valori diversi alla stessa estensione crea un conflitto.Risoluzione
Esamina i criteri di emissione dei certificati del pool di CA in base al modello di certificato e identifica e risolvi i conflitti.
Per ulteriori informazioni sui criteri di emissione, vedi Aggiungere un criterio di emissione di certificati a un pool di CA.
I nomi alternativi del soggetto (SAN) o del soggetto non superano la valutazione dell'espressione CEL nel modello di certificato o nel criterio di emissione del certificato del pool di CA.
Risoluzione
Esamina i criteri di emissione dei certificati e il modello di certificato del pool di CA e assicurati che l'oggetto e la SAN soddisfino le condizioni impostate dalle espressioni CEL (Common Expression Language). Per ulteriori informazioni sulle espressioni CEL, consulta la sezione Utilizzo del linguaggio comune delle espressioni.
Assegnazione di un ruolo IAM errato per un caso d'uso. Ad esempio, l'assegnazione del ruolo
roles/privateca.certificateRequester
per l'identità riflessa o il ruoloroles/privateca.workloadCertificateRequester
per la modalità di identità predefinita.Risoluzione
Verifica di aver assegnato il ruolo
roles/privateca.certificateRequester
per la modalità di identità predefinita e il ruoloroles/privateca.workloadCertificateRequester
per l'identità riflessa. Per saperne di più sull'utilizzo del riflesso dell'identità, consulta Relazione dell'identità per i carichi di lavoro federati.Tentativo di utilizzare la modalità di identità riflessa in uno scenario non supportato, ad esempio senza l'identità del carico di lavoro Hub. Uno scenario non supportato per il riflesso dell'identità restituisce il seguente messaggio di errore:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Risoluzione
Stabilisci il tipo di identità da utilizzare: identità predefinita o identità riflessa. Se devi utilizzare l'identità riflessa, assicurati di farlo in uno degli scenari supportati. Per saperne di più sul riflesso dell'identità, consulta la pagina relativa al riflesso dell'identità per i carichi di lavoro federati.
La limitazione predefinita delle dimensioni della chiave rifiuta le chiavi RSA con dimensioni del modulo inferiori a 2048 bit.
Le best practice del settore consigliano di utilizzare una chiave RSA di almeno 2048 bit. Per impostazione predefinita, il servizio CA impedisce di emettere certificati mediante una chiave RSA la cui dimensione del modulo è inferiore a 2048 bit.
Risoluzione
Se vuoi utilizzare una chiave RSA con dimensioni del modulo inferiori a 2048 bit, devi consentire esplicitamente l'utilizzo utilizzando il criterio di emissione dei certificati. Usa l'esempio YAML seguente per consentire queste chiavi RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024