Se usó la API de Cloud Translation para traducir esta página.

Soluciona problemas

En esta página, se muestra cómo resolver problemas habituales con el servicio de la AC.

La solicitud a la API muestra el error HTTP 403 Forbidden

Si una solicitud a la API muestra el error HTTP 403 Forbidden con el mensaje Read access to project PROJECT_NAME was denied, usa la siguiente resolución.

Solución

Verifica los permisos de IAM del solicitante.
Verifica la ubicación de la solicitud. Las regiones no compatibles pueden mostrar un error de permiso denegado. Para obtener más información sobre las ubicaciones compatibles, consulta Ubicaciones.

Si borras una AC, se muestra el error de condición previa HTTP 412.

Si ves los siguientes errores de condiciones previas con errores cuando borras una AC, usa la resolución de esta sección.

Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Solución

Para que se borre, la AC debe tener el estado DISABLED o STAGED. Asegúrate del estado de tu AC antes de programar su eliminación. Para obtener más información sobre los estados de CA, consulta Estados de CA.

Error de emisión de certificados

El Servicio de AC proporciona varios controles de políticas que puedes usar para administrar la emisión de certificados. Para obtener más información sobre los controles de políticas, consulta Descripción general de las plantillas de certificados y las políticas de emisión.

La emisión del certificado puede fallar por varias razones. Estos son algunos de ellos:

Hay un conflicto entre la política de emisión de certificados y la plantilla de certificados del grupo de AC.

Por ejemplo, considera que la política de emisión define una extensión foo y le asigna el valor bar, y la plantilla del certificado define la extensión foo y le asigna el valor bat. Asignar dos valores diferentes a la misma extensión crea un conflicto.

Solución

Revisa la política de emisión de certificados del grupo de AC en función de la plantilla de certificados, y luego identifica y resuelve los conflictos.

Para obtener más información sobre las políticas de emisión, consulta Agrega una política de emisión de certificados a un grupo de AC.
Los nombres alternativos de asunto (SAN) fallan en la evaluación de expresiones de CEL en la plantilla de certificado o en la política de emisión de certificados del grupo de CA.

Solución

Revisa la política de emisión de certificados y la plantilla de certificados del grupo de AC, y asegúrate de que el sujeto y el SAN cumplan con las condiciones establecidas por las expresiones de Common Expression Language (CEL). Para obtener más información sobre las expresiones de CEL, consulta Cómo usar Common Expression Language.
Se está otorgando un rol de IAM incorrecto para un caso de uso. Por ejemplo, asignar el rol roles/privateca.certificateRequester para la identidad reflejada o asignar el rol roles/privateca.workloadCertificateRequester para el modo de identidad predeterminado.

Solución

Confirma que asignaste el rol roles/privateca.certificateRequester para el modo de identidad predeterminado y el rol roles/privateca.workloadCertificateRequester para la identidad reflejada. Para obtener más información sobre el uso de la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.
Intentas usar el modo de identidad reflejada en una situación no compatible, como sin la identidad de la carga de trabajo de Hub. Si no se admite la reflexión de identidad, se muestra el siguiente mensaje de error:
```
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
```
Solución

Determina qué tipo de identidad necesitas utilizar: identidad predeterminada o identidad reflejada. Si necesitas usar la identidad reflejada, asegúrate de hacerlo en una de las situaciones admitidas. Para obtener más información sobre la reflexión de identidad, consulta Reflejación de identidad para cargas de trabajo federadas.
La restricción predeterminada del tamaño de la clave rechaza las claves RSA con un tamaño del módulo inferior a 2,048 bits.

En las prácticas recomendadas de la industria, se recomienda usar una clave RSA de al menos 2048 bits. De forma predeterminada, el servicio de AC evita que se emitan certificados con un Clave RSA cuyo tamaño de módulo sea inferior a 2048 bits

Solución

Si deseas usar una clave RSA con un tamaño de módulo inferior a 2,048 bits, debes permitirla de forma explícita mediante la política de emisión de certificados. Usa el siguiente ejemplo de YAML para permitir esas claves RSA:
```
allowedKeyTypes:
- rsa:
    minModulusSize: 1024
```

¿Qué sigue?

Obtén información sobre las prácticas recomendadas para usar Certificate Authority Service.
Preguntas frecuentes