Pemecahan masalah

Halaman ini menunjukkan cara menyelesaikan masalah umum pada Certificate Authority Service.

Permintaan API menampilkan HTTP 403 Forbidden

Jika permintaan API menampilkan HTTP 403 Forbidden dengan pesan Read access to project PROJECT_NAME was denied, gunakan resolusi berikut.

Resolusi

  1. Periksa izin IAM pemohon.
  2. Periksa lokasi untuk permintaan tersebut. Wilayah yang tidak didukung dapat menampilkan error izin ditolak. Untuk informasi selengkapnya tentang lokasi yang didukung, lihat Lokasi.

Menghapus CA menghasilkan Prakondisi Gagal 412 HTTP

Jika Anda melihat error prakondisi yang gagal berikut saat menghapus CA, gunakan resolusi di bagian ini.

  • Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Resolusi

CA harus berada dalam status DISABLED atau STAGED agar dapat dihapus. Pastikan status CA Anda sebelum menjadwalkannya untuk dihapus. Untuk informasi selengkapnya tentang status CA, lihat negara bagian CA.

Kegagalan penerbitan sertifikat

CA Service menyediakan beberapa kontrol kebijakan yang dapat Anda gunakan untuk mengelola penerbitan sertifikat. Untuk informasi selengkapnya mengenai kontrol kebijakan, lihat Ringkasan template sertifikat dan kebijakan penerbitan.

Penerbitan sertifikat dapat gagal karena beberapa alasan. Beberapa alasannya adalah sebagai berikut.

  • Konflik antara kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat.

    Misalnya, pertimbangkan bahwa kebijakan penerbitan menentukan ekstensi foo dan menetapkan nilai bar padanya, lalu template sertifikat menentukan ekstensi foo dan menetapkan nilai bat ke ekstensi tersebut. Menetapkan dua nilai yang berbeda ke ekstensi yang sama akan menimbulkan konflik.

    Resolusi

    Tinjau kebijakan penerbitan sertifikat kumpulan CA terhadap template sertifikat, lalu identifikasi dan selesaikan konfliknya.

    Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

  • Nama Alternatif Subjek atau Subjek (SAN) gagal dalam evaluasi ekspresi CEL di template sertifikat atau kebijakan penerbitan sertifikat kumpulan CA.

    Resolusi

    Tinjau template sertifikat dan kebijakan penerbitan sertifikat kumpulan CA, dan pastikan subjek dan SAN memenuhi kondisi yang ditetapkan oleh ekspresi Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang ekspresi CEL, lihat Menggunakan Bahasa Ekspresi Umum.

  • Peran IAM yang salah diberikan untuk kasus penggunaan. Misalnya, menetapkan peran roles/privateca.certificateRequester untuk identitas yang ditampilkan atau menetapkan peran roles/privateca.workloadCertificateRequester untuk mode identitas default.

    Resolusi

    Pastikan Anda telah menetapkan peran roles/privateca.certificateRequester untuk mode identitas default dan peran roles/privateca.workloadCertificateRequester untuk identitas yang ditampilkan. Untuk mengetahui informasi selengkapnya tentang penggunaan refleksi identitas, lihat Refleksi identitas untuk workload gabungan.

  • Mencoba menggunakan mode identitas yang tercermin dalam skenario yang tidak didukung, seperti tanpa Hub workload identity. Skenario yang tidak didukung untuk refleksi identitas akan menampilkan pesan error berikut:

    Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
    

    Resolusi

    Tentukan jenis identitas yang perlu Anda gunakan: identitas default atau identitas yang ditampilkan. Jika perlu menggunakan identitas yang ditampilkan, pastikan Anda menggunakannya dalam salah satu skenario yang didukung. Untuk mengetahui informasi selengkapnya tentang refleksi identitas, lihat Refleksi identitas untuk workload gabungan.

  • Pembatasan ukuran kunci default akan menolak kunci RSA dengan ukuran modulus kurang dari 2048 bit.

    Praktik terbaik industri merekomendasikan penggunaan kunci RSA minimal 2048 bit. Secara default, CA Service mencegah penerbitan sertifikat menggunakan kunci RSA yang ukuran modulusnya kurang dari 2048 bit.

    Resolusi

    Jika ingin menggunakan kunci RSA dengan ukuran modulus kurang dari 2048 bit, Anda harus mengizinkannya secara eksplisit menggunakan kebijakan penerbitan sertifikat. Gunakan contoh YAML berikut untuk mengizinkan kunci RSA tersebut:

    allowedKeyTypes:
    - rsa:
        minModulusSize: 1024
    

Langkah selanjutnya