Fehlerbehebung

Auf dieser Seite erfahren Sie, wie Sie häufige Probleme mit dem Certificate Authority Service beheben.

Die API-Anfrage gibt „HTTP 403 Forbidden“ zurück

Wenn eine API-Anfrage „HTTP 403 Forbidden“ mit der Meldung Read access to project PROJECT_NAME was denied zurückgibt, verwenden Sie die folgende Auflösung.

Lösung

1. Prüfen Sie die IAM-Berechtigungen des Antragstellers.
2. Prüfen Sie den Standort der Anfrage. Bei nicht unterstützten Regionen kann der Fehler „Berechtigung verweigert“ zurückgegeben werden. Weitere Informationen zu unterstützten Standorten finden Sie unter Standorte.

Beim Löschen einer Zertifizierungsstelle wird HTTP 412 Precondition Failed zurückgegeben

Wenn beim Löschen einer Zertifizierungsstelle die folgenden Fehlermeldungen zu nicht erfüllten Voraussetzungen angezeigt werden, verwenden Sie die Lösung in diesem Abschnitt.

• Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Lösung

Eine Zertifizierungsstelle muss den Status DISABLED oder STAGED haben, damit sie gelöscht werden kann. Prüfen Sie den Status Ihrer Zertifizierungsstelle, bevor Sie sie zum Löschen planen. Weitere Informationen zu CA-Status finden Sie unter CA-Status.

Fehler bei der Zertifikatsausstellung

CA Service bietet mehrere Richtliniensteuerungen, mit denen Sie die Ausstellung von Zertifikaten verwalten können. Weitere Informationen zu den Richtlinieneinstellungen finden Sie unter Zertifikatvorlagen und Ausstellungsrichtlinien – Übersicht.

Die Ausstellung von Zertifikaten kann aus verschiedenen Gründen fehlschlagen. Hier sind einige dieser Gründe:

• Konflikt zwischen der Ausstellungsrichtlinie für Zertifikate des CA-Pools und der Zertifikatvorlage.

  Angenommen, die Ausstellungsrichtlinie definiert die Erweiterung foo und weist ihr den Wert bar zu. Die Zertifikatvorlage definiert die Erweiterung foo und weist ihr den Wert bat zu. Die Zuweisung zweier unterschiedlicher Werte zu derselben Erweiterung führt zu einem Konflikt.

  Lösung

  Prüfen Sie die Ausstellungsrichtlinie des CA-Pools anhand der Zertifikatsvorlage und identifizieren und beheben Sie Konflikte.

  Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

• Subjekt- oder alternative SANs bestehen die CEL-Ausdrucksbewertung entweder in der Zertifikatsvorlage oder in der Richtlinie zur Zertifikatsausstellung des CA-Pools nicht.

  Lösung

  Prüfen Sie die Ausstellungsrichtlinie für Zertifikate und die Zertifikatvorlage des CA-Pools und achten Sie darauf, dass der Inhaber und der SAN die Bedingungen erfüllen, die durch Common Expression Language (CEL)-Ausdrücke festgelegt sind. Weitere Informationen zu CEL-Ausdrücken finden Sie unter Common Expression Language verwenden.

• Für einen Anwendungsfall wird eine falsche IAM-Rolle gewährt. Beispielsweise können Sie die Rolle roles/privateca.certificateRequester für die reflektierte Identität oder die Rolle roles/privateca.workloadCertificateRequester für den Standardidentitätsmodus zuweisen.

  Lösung

  Prüfen Sie, ob Sie die Rolle roles/privateca.certificateRequester für den standardmäßigen Identitätsmodus und die Rolle roles/privateca.workloadCertificateRequester für die reflektierte Identität zugewiesen haben. Weitere Informationen zur Verwendung der Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

• Der Versuch, den Modus für die reflektierte Identität in einem nicht unterstützten Szenario zu verwenden, z. B. ohne Hub-Workload Identity. Ein nicht unterstütztes Szenario für die Identitätsreflexion gibt die folgende Fehlermeldung zurück:

  Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
  

  Lösung

  Legen Sie fest, welche Art von Identität Sie verwenden müssen: Standardidentität oder reflektierte Identität. Wenn Sie die reflektierte Identität verwenden müssen, achten Sie darauf, dass Sie sie in einem der unterstützten Szenarien verwenden. Weitere Informationen zur Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

• Aufgrund der Standardbeschränkung für die Schlüsselgröße werden RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit abgelehnt.

  In den Best Practices der Branche wird empfohlen, einen RSA-Schlüssel mit mindestens 2.048 Bit zu verwenden. Standardmäßig verhindert CA Service das Ausstellen von Zertifikaten mithilfe einer RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit.

  Lösung

  Wenn Sie einen RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit verwenden möchten, müssen Sie über die Richtlinie zur Zertifikatsausstellung explizit erlauben. Verwenden Sie das folgende YAML-Beispiel, um solche RSA-Schlüssel zuzulassen:

  allowedKeyTypes:
  - rsa:
      minModulusSize: 1024
  

Nächste Schritte

• Best Practices für die Verwendung von Certificate Authority Service
• FAQ