Solução de problemas
Nesta página, mostramos como resolver problemas comuns do Certificate Authority Service.
A solicitação da API retorna HTTP 403 Forbidden
Se uma solicitação de API retornar "HTTP 403 Proibido" com a mensagem Read access to project PROJECT_NAME was denied
, use a resolução a seguir.
Resolução
- Verifique as permissões do IAM do solicitante.
- Verifique o local da solicitação. As regiões sem suporte podem retornar um erro de permissão negada. Para mais informações sobre os locais com suporte, consulte Locais.
Excluir uma CA retorna a condição HTTP 412 Falha na pré-condição
Se você encontrar os seguintes erros de pré-condição ao excluir uma AC, use a resolução desta seção.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Resolução
Uma AC precisa estar no estado DISABLED
ou STAGED
para ser excluída. Verifique o estado da sua CA antes de programá-la para exclusão. Para mais informações sobre os estados da AC, consulte Estados da AC.
Falha na emissão do certificado
O serviço de AC oferece vários controles de política que podem ser usados para gerenciar a emissão de certificados. Para mais informações sobre os controles de política, consulte Visão geral dos modelos de certificado e das políticas de emissão.
A emissão de certificados pode falhar por vários motivos. Confira alguns dos motivos abaixo.
Conflito entre a política de emissão de certificados e o modelo de certificado do pool de ACs.
Por exemplo, considere que a política de emissão define uma extensão
foo
e atribui a ela o valorbar
, e o modelo de certificado define a extensãofoo
e atribui a ela o valorbat
. A atribuição de dois valores diferentes à mesma extensão cria um conflito.Resolução
Revise a política de emissão de certificados do pool de CAs em relação ao modelo de certificado, identifique e resolva os conflitos.
Para mais informações sobre as políticas de emissão, consulte Adicionar uma política de emissão de certificados a um pool de ACs.
Os nomes alternativos do assunto ou do assunto (SANs, na sigla em inglês) não passam na avaliação da expressão CEL no modelo de certificado ou na política de emissão de certificados do pool de ACs.
Resolução
Revise a política de emissão de certificados e o modelo de certificado do pool de CAs e verifique se o assunto e a SAN atendem às condições definidas pelas expressões da Common Expression Language (CEL). Para mais informações sobre as expressões CEL, consulte Como usar a linguagem de expressão comum.
Papel do IAM incorreto sendo concedido para um caso de uso. Por exemplo, atribuir o papel
roles/privateca.certificateRequester
para a identidade refletida ou atribuir o papelroles/privateca.workloadCertificateRequester
para o modo de identidade padrão.Resolução
Confirme se você atribuiu o papel
roles/privateca.certificateRequester
para o modo de identidade padrão e o papelroles/privateca.workloadCertificateRequester
para a identidade refletida. Para mais informações sobre como usar a reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.Tentar usar o modo de identidade refletida em um cenário incompatível, como sem a identidade da carga de trabalho do Hub. Um cenário sem suporte para reflexão de identidade retorna a seguinte mensagem de erro:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Resolução
Determine que tipo de identidade você precisa usar: identidade padrão ou identidade refletida. Se você precisar usar a identidade refletida, confirme se ela está sendo usada em um dos cenários compatíveis. Para mais informações sobre reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.
A restrição de tamanho de chave padrão rejeita chaves RSA com tamanho de módulo menor que 2.048 bits.
As práticas recomendadas do setor recomendam o uso de uma chave RSA de pelo menos 2.048 bits. Por padrão, o serviço de CA impede a emissão de certificados usando uma Chave RSA com tamanho de módulo menor que 2.048 bits.
Resolução
Se você quiser usar uma chave RSA com tamanho de módulo menor que 2.048 bits, será necessário permitir isso explicitamente usando a política de emissão de certificados. Use o seguinte exemplo YAML para permitir essas chaves RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024
A seguir
- Conheça as práticas recomendadas para usar o Certificate Authority Service (em inglês).
- Perguntas frequentes