Soluciona problemas
En esta página, se muestra cómo resolver problemas comunes con Certificate Authority Service.
La solicitud a la API muestra HTTP 403 Forbidden
Si una solicitud a la API muestra HTTP 403 Forbidden con el mensaje Read access to project PROJECT_NAME was denied, utiliza la siguiente resolución.
Solución
- Verifica los permisos de IAM del solicitante.
- Verifica la ubicación de la solicitud. Las regiones no admitidas pueden mostrar un error de permiso denegado. Para obtener más información sobre las ubicaciones admitidas, consulta Ubicaciones.
Si borras una CA, se mostrará la condición previa fallida de HTTP 412.
Si ves los siguientes errores de condición previa con errores cuando borras una AC, usa la resolución que se indica en esta sección.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Solución
Una AC debe tener el estado DISABLED o STAGED para que se borre. Asegúrate del estado de tu CA antes de programar su eliminación. Para obtener más información sobre los estados de AC, consulta Estados de AC.
Error de emisión del certificado
El Servicio de CA proporciona varios controles de políticas que puedes usar para administrar la emisión de certificados. Para obtener más información sobre los controles de la política, consulta Descripción general de las plantillas de certificados y las políticas de emisión.
La emisión del certificado puede fallar por varias razones. Algunos de estos motivos son los siguientes.
Conflicto entre la política de emisión de certificados del grupo de AC y la plantilla de certificados.
Por ejemplo, considera que la política de emisión define una extensión
fooy le asigna el valorbar, y la plantilla de certificado define la extensiónfooy le asigna el valorbat. Asignar dos valores diferentes a la misma extensión crea un conflicto.Solución
Revisa la política de emisión de certificados del grupo de CA con la plantilla del certificado y, luego, identifica y resuelve los conflictos.
Para obtener más información sobre las políticas de emisión, consulta Agrega una política de emisión de certificados a un grupo de AC.
Los nombres alternativos de sujeto (SAN) o de sujeto no pasan la evaluación de expresiones de CEL en la plantilla de certificado o la política de emisión de certificados del grupo de CA.
Solución
Revisa la política de emisión de certificados y la plantilla de certificado del grupo de AC, y asegúrate de que el asunto y el SAN cumplan con las condiciones establecidas por las expresiones de Common Expression Language (CEL). Para obtener más información sobre las expresiones en CEL, consulta Usa Common Expression Language.
Se otorgó un rol de IAM incorrecto para un caso de uso. Por ejemplo, asigna la función
roles/privateca.certificateRequesterpara la identidad reflejada o la funciónroles/privateca.workloadCertificateRequesterpara el modo de identidad predeterminado.Solución
Confirma que asignaste la función
roles/privateca.certificateRequesterpara el modo de identidad predeterminado y la funciónroles/privateca.workloadCertificateRequesterpara la identidad reflejada. Para obtener más información sobre el uso de la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.Se intenta usar el modo de identidad reflejada en una situación no compatible, como sin la identidad de carga de trabajo de Hub. Una situación no admitida para la reflexión de identidad muestra el siguiente mensaje de error:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Solución
Determina qué tipo de identidad debes usar: identidad predeterminada o identidad reflejada. Si necesitas usar la identidad reflejada, asegúrate de hacerlo en una de las situaciones compatibles. Si quieres obtener más información sobre la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.
La restricción de tamaño de clave predeterminada rechaza las claves RSA con un tamaño de módulo inferior a 2,048 bits.
Las prácticas recomendadas de la industria sugieren usar una clave RSA de al menos 2048 bits. De forma predeterminada, el Servicio de CA evita la emisión de certificados mediante una clave RSA cuyo tamaño de módulo es inferior a 2,048 bits.
Solución
Si quieres usar una clave RSA con un tamaño de módulo inferior a 2,048 bits, debes permitirla explícitamente mediante la política de emisión de certificados. Usa el siguiente ejemplo de YAML para permitir esas claves RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024
¿Qué sigue?
- Obtén más información sobre las prácticas recomendadas para usar Certificate Authority Service.
- Preguntas frecuentes