Fehlerbehebung
Auf dieser Seite wird beschrieben, wie Sie häufige Probleme mit Certificate Authority Service beheben.
Die API-Anfrage gibt „HTTP 403 Forbidden“ zurück
Wenn eine API-Anfrage „HTTP 403 Forbidden“ mit der Meldung Read access to project PROJECT_NAME was denied
zurückgibt, verwenden Sie die folgende Lösung.
Lösung
- Prüfen Sie die IAM-Berechtigungen des Anforderers.
- Überprüfen Sie den Standort für die Anfrage. Für nicht unterstützte Regionen kann der Fehler „Berechtigung verweigert“ zurückgegeben werden. Weitere Informationen zu unterstützten Standorten finden Sie unter Standorte.
Beim Löschen einer Zertifizierungsstelle wird die HTTP-Antwort „412 Failed Precondition“ zurückgegeben
Wenn beim Löschen einer Zertifizierungsstelle die folgenden Fehler aufgrund einer nicht erfüllten Vorbedingung auftreten, verwenden Sie die in diesem Abschnitt beschriebene Lösung.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Lösung
Eine Zertifizierungsstelle muss den Status DISABLED
oder STAGED
haben, damit sie gelöscht wird. Prüfen Sie den Status Ihrer Zertifizierungsstelle, bevor Sie sie zum Löschen planen. Weitere Informationen zu CA-Status finden Sie unter CA-Status.
Zertifikatausstellung fehlgeschlagen
CA Service bietet mehrere Richtlinienkontrollen, mit denen Sie die Zertifikatsausstellung verwalten können. Weitere Informationen zu den Richtliniensteuerelementen finden Sie unter Übersicht über Zertifikatsvorlagen und Ausstellungsrichtlinien.
Die Zertifikatsausstellung kann aus verschiedenen Gründen fehlschlagen. Hier einige Gründe dafür:
Konflikt zwischen der Zertifikatsausstellungsrichtlinie des Zertifizierungsstellenpools und der Zertifikatsvorlage.
Ein Beispiel: Die Ausstellungsrichtlinie definiert eine Erweiterung
foo
und weist ihr den Wertbar
zu. Die Zertifikatsvorlage definiert die Erweiterungfoo
und weist ihr den Wertbat
zu. Wenn einer Erweiterung zwei verschiedene Werte zugewiesen werden, entsteht ein Konflikt.Lösung
Prüfen Sie die Zertifikatsausstellungsrichtlinie des Zertifizierungsstellenpools anhand der Zertifikatsvorlage, ermitteln und beheben Sie die Konflikte.
Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter Einem CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.
„Subject“ oder „Subject alter Names“ (SANs) schlägt die Auswertung des CEL-Ausdrucks in der Zertifikatsvorlage oder in der Zertifikatsausstellungsrichtlinie des CA-Pools fehl.
Lösung
Prüfen Sie die Zertifikatsausstellungsrichtlinie und die Zertifikatsvorlage des CA-Pools und achten Sie darauf, dass der Subjekt und das SAN die in Common Expression Language-Ausdrücken (CEL) festgelegten Bedingungen erfüllen. Weitere Informationen zu CEL-Ausdrücken finden Sie unter Common Expression Language verwenden.
Falsche IAM-Rolle für einen Anwendungsfall. Sie können beispielsweise die Rolle
roles/privateca.certificateRequester
für die reflektierte Identität oder die Rolleroles/privateca.workloadCertificateRequester
für den standardmäßigen Identitätsmodus zuweisen.Lösung
Bestätigen Sie, dass Sie die Rolle
roles/privateca.certificateRequester
für den standardmäßigen Identitätsmodus und die Rolleroles/privateca.workloadCertificateRequester
für die reflektierte Identität zugewiesen haben. Weitere Informationen zur Verwendung der Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.Der Versuch, den Modus für reflektierte Identitäten in einem nicht unterstützten Szenario zu verwenden, z. B. ohne Hub-Workload Identity. Ein nicht unterstütztes Szenario für die Identitätsreflexion gibt die folgende Fehlermeldung zurück:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Lösung
Lege fest, welche Art von Identität du verwenden musst: Standardidentität oder reflektierte Identität. Wenn Sie die reflektierte Identität verwenden müssen, müssen Sie sie in einem der unterstützten Szenarien verwenden. Weitere Informationen zur Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.
Mit der standardmäßigen Schlüsselgrößeneinschränkung werden RSA-Schlüssel mit einer Modulogröße von weniger als 2.048 Bit abgelehnt.
Best Practices der Branche empfehlen die Verwendung eines RSA-Schlüssel mit mindestens 2.048 Bit. Standardmäßig verhindert CA Service das Ausstellen von Zertifikaten mit einem RSA-Schlüssel, dessen Modulusgröße kleiner als 2.048 Bit ist.
Lösung
Wenn Sie einen RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit verwenden möchten, müssen Sie ihn mithilfe der Zertifikatsausstellungsrichtlinie explizit zulassen. Verwenden Sie das folgende YAML-Beispiel, um solche RSA-Schlüssel zuzulassen:
allowedKeyTypes: - rsa: minModulusSize: 1024