Cette page a été traduite par l'API Cloud Translation.

Dépannage

Cette page explique comment résoudre les problèmes courants liés au service d'autorité de certification.

La requête API renvoie le code HTTP 403 (interdit)

Si une requête API renvoie le message "HTTP 403 Forbidden" avec le message Read access to project PROJECT_NAME was denied, utilisez la résolution suivante.

Solution

Vérifiez les autorisations IAM de la personne à l'origine de la demande.
Vérifiez l'emplacement de la requête. Les régions non compatibles peuvent renvoyer une erreur "Autorisation refusée". Pour en savoir plus sur les emplacements compatibles, consultez la section Emplacements.

La suppression d'une autorité de certification renvoie le code d'état HTTP 412 "Échec de la condition préalable"

Si les erreurs de préconditionnement suivantes s'affichent lorsque vous supprimez une autorité de certification, utilisez la solution proposée dans cette section.

Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Solution

Une autorité de certification doit être à l'état DISABLED ou STAGED pour pouvoir être supprimée. Vérifiez l'état de votre autorité de certification avant de planifier sa suppression. Pour en savoir plus sur les états de l'autorité de certification, consultez la section États de l'autorité de certification.

Échec de l'émission du certificat

CA Service fournit plusieurs contrôles de stratégie que vous pouvez utiliser pour gérer l'émission de certificats. Pour en savoir plus sur les contrôles des stratégies, consultez la section Présentation des modèles de certificats et des règles d'émission.

L'émission d'un certificat peut échouer pour plusieurs raisons. Voici quelques-unes de ces raisons :

Conflit entre la stratégie d'émission de certificats du pool d'autorités de certification et le modèle de certificat.

Prenons l'exemple de la règle d'émission qui définit une extension foo et lui attribue la valeur bar. Le modèle de certificat définit l'extension foo et lui attribue la valeur bat. L'attribution de deux valeurs différentes à la même extension crée un conflit.

Solution

Comparez la règle d'émission de certificats du pool d'autorités de certification au modèle de certificat, puis identifiez et résolvez les conflits.

Pour en savoir plus sur les règles d'émission, consultez la section Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.
L'évaluation de l'expression CEL pour l'objet ou les autres noms d'objet (SAN) échoue dans le modèle de certificat ou dans la règle d'émission de certificats du pool d'autorités de certification.

Solution

Examinez le modèle et la règle d'émission de certificats du pool d'autorités de certification, et assurez-vous que l'objet et l'autre nom de l'objet répondent aux conditions définies par les expressions en langage CEL (Common Expression Language). Pour en savoir plus sur les expressions CEL, consultez la page Utiliser le langage courant d'expression.
Rôle IAM attribué de façon incorrecte pour un cas d'utilisation. Par exemple, vous pouvez attribuer le rôle roles/privateca.certificateRequester pour l'identité reflétée ou attribuer le rôle roles/privateca.workloadCertificateRequester pour le mode d'identité par défaut.

Solution

Vérifiez que vous avez attribué le rôle roles/privateca.certificateRequester pour le mode d'identité par défaut et le rôle roles/privateca.workloadCertificateRequester pour l'identité réfléchie. Pour en savoir plus sur l'utilisation de la réflexion d'identité, consultez Réflexion d'identité pour les charges de travail fédérées.
Tentative d'utilisation du mode d'identité réfléchie dans un scénario non compatible, par exemple sans identité de charge de travail Hub. Un scénario non pris en charge de réflexion sur l'identité renvoie le message d'erreur suivant:
```
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
```
Solution

Déterminez le type d'identité que vous devez utiliser : identité par défaut ou identité réfléchie. Si vous devez utiliser l'identité réfléchie, assurez-vous de l'utiliser dans l'un des scénarios compatibles. Pour en savoir plus sur la réflexion de l'identité, consultez la section Réflexion sur l'identité pour les charges de travail fédérées.
La restriction de taille de clé par défaut rejette les clés RSA dont la taille du module est inférieure à 2048 bits.

Les bonnes pratiques du secteur recommandent d'utiliser une clé RSA d'au moins 2 048 bits. Par défaut, le service d'autorité de certification empêche l'émission de certificats à l'aide d'une clé RSA dont la taille de module est inférieure à 2 048 bits.

Solution

Si vous souhaitez utiliser une clé RSA avec une taille de module inférieure à 2 048 bits, vous devez l'autoriser explicitement à l'aide de la stratégie d'émission de certificats. Utilisez l'exemple YAML suivant pour autoriser ces clés RSA :
```
allowedKeyTypes:
- rsa:
    minModulusSize: 1024
```

Étape suivante

Découvrez les bonnes pratiques à suivre pour utiliser Certificate Authority Service.
Questions fréquentes