Fehlerbehebung

Auf dieser Seite wird beschrieben, wie Sie häufige Probleme mit Certificate Authority Service beheben.

Die API-Anfrage gibt „HTTP 403 Forbidden“ zurück

Wenn eine API-Anfrage „HTTP 403 Forbidden“ mit der Meldung Read access to project PROJECT_NAME was denied zurückgibt, verwenden Sie die folgende Lösung.

Lösung

1. Prüfen Sie die IAM-Berechtigungen des Anforderers.
2. Überprüfen Sie den Standort für die Anfrage. Für nicht unterstützte Regionen kann der Fehler „Berechtigung verweigert“ zurückgegeben werden. Weitere Informationen zu unterstützten Standorten finden Sie unter Standorte.

Beim Löschen einer Zertifizierungsstelle wird die HTTP-Antwort „412 Failed Precondition“ zurückgegeben

Wenn beim Löschen einer Zertifizierungsstelle die folgenden Fehler aufgrund einer nicht erfüllten Vorbedingung auftreten, verwenden Sie die in diesem Abschnitt beschriebene Lösung.

• Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Lösung

Eine Zertifizierungsstelle muss den Status DISABLED oder STAGED haben, damit sie gelöscht wird. Prüfen Sie den Status Ihrer Zertifizierungsstelle, bevor Sie sie zum Löschen planen. Weitere Informationen zu CA-Status finden Sie unter CA-Status.

Zertifikatausstellung fehlgeschlagen

CA Service bietet mehrere Richtlinienkontrollen, mit denen Sie die Zertifikatsausstellung verwalten können. Weitere Informationen zu den Richtliniensteuerelementen finden Sie unter Übersicht über Zertifikatsvorlagen und Ausstellungsrichtlinien.

Die Zertifikatsausstellung kann aus verschiedenen Gründen fehlschlagen. Hier einige Gründe dafür:

• Konflikt zwischen der Zertifikatsausstellungsrichtlinie des Zertifizierungsstellenpools und der Zertifikatsvorlage.

  Ein Beispiel: Die Ausstellungsrichtlinie definiert eine Erweiterung foo und weist ihr den Wert bar zu. Die Zertifikatsvorlage definiert die Erweiterung foo und weist ihr den Wert bat zu. Wenn einer Erweiterung zwei verschiedene Werte zugewiesen werden, entsteht ein Konflikt.

  Lösung

  Prüfen Sie die Zertifikatsausstellungsrichtlinie des Zertifizierungsstellenpools anhand der Zertifikatsvorlage, ermitteln und beheben Sie die Konflikte.

  Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter Einem CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

• „Subject“ oder „Subject alter Names“ (SANs) schlägt die Auswertung des CEL-Ausdrucks in der Zertifikatsvorlage oder in der Zertifikatsausstellungsrichtlinie des CA-Pools fehl.

  Lösung

  Prüfen Sie die Zertifikatsausstellungsrichtlinie und die Zertifikatsvorlage des CA-Pools und achten Sie darauf, dass der Subjekt und das SAN die in Common Expression Language-Ausdrücken (CEL) festgelegten Bedingungen erfüllen. Weitere Informationen zu CEL-Ausdrücken finden Sie unter Common Expression Language verwenden.

• Falsche IAM-Rolle für einen Anwendungsfall. Sie können beispielsweise die Rolle roles/privateca.certificateRequester für die reflektierte Identität oder die Rolle roles/privateca.workloadCertificateRequester für den standardmäßigen Identitätsmodus zuweisen.

  Lösung

  Bestätigen Sie, dass Sie die Rolle roles/privateca.certificateRequester für den standardmäßigen Identitätsmodus und die Rolle roles/privateca.workloadCertificateRequester für die reflektierte Identität zugewiesen haben. Weitere Informationen zur Verwendung der Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

• Der Versuch, den Modus für reflektierte Identitäten in einem nicht unterstützten Szenario zu verwenden, z. B. ohne Hub-Workload Identity. Ein nicht unterstütztes Szenario für die Identitätsreflexion gibt die folgende Fehlermeldung zurück:

  Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
  

  Lösung

  Lege fest, welche Art von Identität du verwenden musst: Standardidentität oder reflektierte Identität. Wenn Sie die reflektierte Identität verwenden müssen, müssen Sie sie in einem der unterstützten Szenarien verwenden. Weitere Informationen zur Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

• Mit der standardmäßigen Schlüsselgrößeneinschränkung werden RSA-Schlüssel mit einer Modulogröße von weniger als 2.048 Bit abgelehnt.

  Best Practices der Branche empfehlen die Verwendung eines RSA-Schlüssel mit mindestens 2.048 Bit. Standardmäßig verhindert CA Service das Ausstellen von Zertifikaten mit einem RSA-Schlüssel, dessen Modulusgröße kleiner als 2.048 Bit ist.

  Lösung

  Wenn Sie einen RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit verwenden möchten, müssen Sie ihn mithilfe der Zertifikatsausstellungsrichtlinie explizit zulassen. Verwenden Sie das folgende YAML-Beispiel, um solche RSA-Schlüssel zuzulassen:

  allowedKeyTypes:
  - rsa:
      minModulusSize: 1024
  

Nächste Schritte

• Best Practices für die Verwendung von Certificate Authority Service
• FAQ