Pemecahan masalah
Halaman ini menunjukkan cara menyelesaikan masalah umum pada Certificate Authority Service.
Permintaan API menampilkan HTTP 403 Forbidden
Jika permintaan API menampilkan HTTP 403 Forbidden dengan pesan Read access to project PROJECT_NAME was denied, gunakan resolusi berikut.
Resolusi
- Periksa izin IAM pemohon.
- Periksa lokasi untuk permintaan tersebut. Wilayah yang tidak didukung dapat menampilkan error izin ditolak. Untuk informasi selengkapnya tentang lokasi yang didukung, lihat Lokasi.
Menghapus CA menghasilkan Prakondisi Gagal 412 HTTP
Jika Anda melihat error prakondisi yang gagal berikut saat menghapus CA, gunakan resolusi di bagian ini.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Resolusi
CA harus berada dalam status DISABLED atau STAGED agar dapat dihapus. Pastikan status CA Anda sebelum menjadwalkannya untuk dihapus. Untuk informasi selengkapnya tentang status CA, lihat negara bagian CA.
Kegagalan penerbitan sertifikat
CA Service menyediakan beberapa kontrol kebijakan yang dapat Anda gunakan untuk mengelola penerbitan sertifikat. Untuk informasi selengkapnya mengenai kontrol kebijakan, lihat Ringkasan template sertifikat dan kebijakan penerbitan.
Penerbitan sertifikat dapat gagal karena beberapa alasan. Beberapa alasannya adalah sebagai berikut.
Konflik antara kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat.
Misalnya, pertimbangkan bahwa kebijakan penerbitan menentukan ekstensi
foodan menetapkan nilaibarpadanya, lalu template sertifikat menentukan ekstensifoodan menetapkan nilaibatke ekstensi tersebut. Menetapkan dua nilai yang berbeda ke ekstensi yang sama akan menimbulkan konflik.Resolusi
Tinjau kebijakan penerbitan sertifikat kumpulan CA terhadap template sertifikat, lalu identifikasi dan selesaikan konfliknya.
Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.
Nama Alternatif Subjek atau Subjek (SAN) gagal dalam evaluasi ekspresi CEL di template sertifikat atau kebijakan penerbitan sertifikat kumpulan CA.
Resolusi
Tinjau template sertifikat dan kebijakan penerbitan sertifikat kumpulan CA, dan pastikan subjek dan SAN memenuhi kondisi yang ditetapkan oleh ekspresi Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang ekspresi CEL, lihat Menggunakan Bahasa Ekspresi Umum.
Peran IAM yang salah diberikan untuk kasus penggunaan. Misalnya, menetapkan peran
roles/privateca.certificateRequesteruntuk identitas yang ditampilkan atau menetapkan peranroles/privateca.workloadCertificateRequesteruntuk mode identitas default.Resolusi
Pastikan Anda telah menetapkan peran
roles/privateca.certificateRequesteruntuk mode identitas default dan peranroles/privateca.workloadCertificateRequesteruntuk identitas yang ditampilkan. Untuk mengetahui informasi selengkapnya tentang penggunaan refleksi identitas, lihat Refleksi identitas untuk workload gabungan.Mencoba menggunakan mode identitas yang tercermin dalam skenario yang tidak didukung, seperti tanpa Hub workload identity. Skenario yang tidak didukung untuk refleksi identitas akan menampilkan pesan error berikut:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Resolusi
Tentukan jenis identitas yang perlu Anda gunakan: identitas default atau identitas yang ditampilkan. Jika perlu menggunakan identitas yang ditampilkan, pastikan Anda menggunakannya dalam salah satu skenario yang didukung. Untuk mengetahui informasi selengkapnya tentang refleksi identitas, lihat Refleksi identitas untuk workload gabungan.
Pembatasan ukuran kunci default akan menolak kunci RSA dengan ukuran modulus kurang dari 2048 bit.
Praktik terbaik industri merekomendasikan penggunaan kunci RSA minimal 2048 bit. Secara default, CA Service mencegah penerbitan sertifikat menggunakan kunci RSA yang ukuran modulusnya kurang dari 2048 bit.
Resolusi
Jika ingin menggunakan kunci RSA dengan ukuran modulus kurang dari 2048 bit, Anda harus mengizinkannya secara eksplisit menggunakan kebijakan penerbitan sertifikat. Gunakan contoh YAML berikut untuk mengizinkan kunci RSA tersebut:
allowedKeyTypes: - rsa: minModulusSize: 1024