Risoluzione dei problemi
Questa pagina mostra come risolvere i problemi comuni di Certificate Authority Service.
La richiesta API restituisce HTTP 403 Forbidden
Se una richiesta API restituisce HTTP 403 Forbidden con il messaggio Read access to project PROJECT_NAME was denied
, utilizza la seguente risoluzione.
Risoluzione
- Controlla le autorizzazioni IAM del richiedente.
- Controlla la posizione della richiesta. Le regioni non supportate possono restituire un errore di autorizzazione negata. Per ulteriori informazioni sulle località supportate, consulta la sezione Località.
L'eliminazione di una CA restituisce il codice HTTP 412 Precondizione non riuscita
Se durante l'eliminazione di una CA vengono visualizzati i seguenti errori relativi ai prerequisiti non riusciti, utilizza la soluzione indicata in questa sezione.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Risoluzione
Una CA deve essere nello stato DISABLED
o STAGED
per poter essere eliminata. Verifica lo stato della CA prima di pianificarne l'eliminazione. Per ulteriori informazioni sugli stati delle CA, consulta Stati delle CA.
Errore di emissione del certificato
CA Service fornisce diversi controlli dei criteri che puoi utilizzare per gestire l'emissione dei certificati. Per ulteriori informazioni sui controlli dei criteri, consulta la Panoramica dei modelli di certificati e dei criteri di emissione.
L'emissione del certificato può non riuscire per diversi motivi. Ecco alcuni di questi motivi.
Conflitto tra il criterio di emissione dei certificati del pool di CA e il modello di certificato.
Ad esempio, tieni presente che il criterio di emissione definisce un'estensione
foo
e le assegna il valorebar
, mentre il modello di certificato definisce l'estensionefoo
e le assegna il valorebat
. L'assegnazione di due valori diversi alla stessa estensione crea un conflitto.Risoluzione
Esamina il criterio di emissione dei certificati del pool di CA rispetto al modello di certificato e identifica e risolvi i conflitti.
Per ulteriori informazioni sui criteri di emissione, vedi Aggiungere un criterio di emissione dei certificati a un pool di CA.
I nomi alternativi del soggetto o del soggetto (SAN) non superano la valutazione dell'espressione CEL nel modello di certificato o nel criterio di emissione dei certificati del pool di CA.
Risoluzione
Esamina il criterio di emissione dei certificati e il modello di certificato del pool di CA e assicurati che il soggetto e la SAN soddisfino le condizioni impostate dalle espressioni CEL (Common Expression Language). Per ulteriori informazioni sulle espressioni CEL, consulta Using Common Expression Language.
È stato concesso un ruolo IAM errato per un caso d'uso. Ad esempio, l'assegnazione del ruolo
roles/privateca.certificateRequester
per l'identità riflessa o l'assegnazione del ruoloroles/privateca.workloadCertificateRequester
per la modalità di identità predefinita.Risoluzione
Verifica di aver assegnato il ruolo
roles/privateca.certificateRequester
per la modalità di identità predefinita e il ruoloroles/privateca.workloadCertificateRequester
per l'identità riflessa. Per saperne di più sull'utilizzo della riflessione sull'identità, consulta Riflessione dell'identità per i carichi di lavoro federati.Tentativo di utilizzare la modalità di identità riflessa in uno scenario non supportato, ad esempio senza l'identità del carico di lavoro dell'hub. Uno scenario non supportato per il riflesso dell'identità restituisce il seguente messaggio di errore:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Risoluzione
Determina quale tipo di identità devi utilizzare: identità predefinita o identità riflessa. Se devi utilizzare l'identità riflessa, assicurati di utilizzarla in uno degli scenari supportati. Per ulteriori informazioni sulla riflessione dell'identità, consulta Riflessione dell'identità per i carichi di lavoro federati.
La limitazione predefinita relativa alle dimensioni della chiave rifiuta le chiavi RSA con dimensioni del modulo inferiori a 2048 bit.
Le best practice del settore consigliano di utilizzare una chiave RSA di almeno 2048 bit. Per impostazione predefinita, il servizio CA impedisce di emettere certificati utilizzando una chiave RSA di cui le dimensioni del modulo sono inferiori a 2048 bit.
Risoluzione
Se vuoi utilizzare una chiave RSA con un modulo di dimensioni inferiori a 2048 bit, devi consentirla esplicitamente utilizzando il criterio di emissione dei certificati. Utilizza il seguente esempio YAML per consentire queste chiavi RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024