문제 해결
이 페이지에서는 Certificate Authority Service의 일반적인 문제를 해결하는 방법을 보여줍니다.
API 요청으로 HTTP 403 금지됨이 반환됨
API 요청으로 Read access to project PROJECT_NAME was denied
메시지와 함께 HTTP 403 금지됨이 반환된는 경우 다음 해결 방법을 사용하세요.
해결 방법
- 요청자의 IAM 권한을 확인합니다.
- 요청 위치를 확인합니다. 지원되지 않는 리전에서는 권한 거부됨 오류를 반환할 수 있습니다. 지원되는 위치에 대한 자세한 내용은 위치를 참조하세요.
CA를 삭제하면 HTTP 412 전제조건 실패가 반환됨
CA를 삭제할 때 전제조건 실패 오류가 표시되면 이 섹션의 해결 방법을 사용하세요.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
해결 방법
CA를 삭제하려면 CA가 DISABLED
또는 STAGED
상태여야 합니다. 삭제를 예약하기 전에 CA의 상태를 확인합니다. CA 상태에 대한 자세한 내용은 CA 상태를 참조하세요.
인증서 발급 실패
CA Service는 인증서 발급을 관리하는 데 사용할 수 있는 여러 정책 제어를 제공합니다. 정책 제어에 대한 자세한 내용은 인증서 템플릿 및 발급 정책 개요를 참조하세요.
여러 가지 이유로 인해 인증서 발급이 실패할 수 있습니다. 이러한 이유 중 일부는 다음과 같습니다.
CA 풀의 인증서 발급 정책과 인증서 템플릿 간에 충돌합니다.
예를 들어 발급 정책에서
foo
확장자를 정의하여bar
값을 할당하고 인증서 템플릿에서는foo
확장자를 정의하여bat
값을 할당한다고 가정합니다. 동일한 확장자에 두 개의 서로 다른 값을 할당하면 충돌이 발생합니다.해결 방법
CA 풀의 인증서 발급 정책을 인증서 템플릿과 비교하여 검토해 충돌을 식별하고 해결합니다.
발급 정책에 대한 자세한 내용은 CA 풀에 인증서 발급 정책 추가를 참조하세요.
주체 또는 주체 대체 이름(SAN)이 인증서 템플릿 또는 CA 풀의 인증서 발급 정책에서 CEL 표현식 평가에 실패합니다.
해결 방법
CA 풀의 인증서 발급 정책 및 인증서 템플릿을 검토하고 주체 및 SAN이 Common Expression Language(CEL) 표현식으로 설정된 조건을 충족하는지 확인합니다. CEL 표현식에 대한 자세한 내용은 Common Expression Language 사용을 참조하세요.
사용 사례에 잘못된 IAM 역할이 부여되었습니다. 예를 들어 리플렉션된 ID에
roles/privateca.certificateRequester
역할을 할당하거나 기본 ID 모드에roles/privateca.workloadCertificateRequester
역할을 할당합니다.해결 방법
기본 ID 모드에
roles/privateca.certificateRequester
역할을 리플렉션된 ID에는roles/privateca.workloadCertificateRequester
역할을 할당했는지 확인합니다. ID 리플렉션 사용에 대한 자세한 내용은 제휴 워크로드의 ID 리플렉션을 참조하세요.허브 워크로드 아이덴티티가 없는 경우와 같이 지원되지 않는 시나리오에서 리플렉션된 ID 모드를 사용하려고 시도합니다. ID 리플렉션이 지원되지 않는 시나리오에서는 다음 오류 메시지를 반환합니다.
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
해결 방법
사용해야 하는 ID 유형을 기본 ID 또는 리플렉션된 ID 중에 결정합니다. 리플렉션된 ID를 사용해야 하는 경우 지원되는 시나리오에서 사용하고 있는지 확인하세요. ID 리플렉션에 대한 자세한 내용은 제휴 워크로드의 ID 리플렉션을 참조하세요.
기본 키 크기 제한에서 2,048비트 미만의 모듈러스 크기를 사용하는 RSA 키를 거부합니다.
업계 권장사항에 따라 최소 2,048비트의 RSA 키를 사용하는 것이 좋습니다. 기본적으로 CA Service는 모듈러스 크기가 2,048비트 미만인 RSA 키를 사용하여 인증서를 발급하지 못하도록 합니다.
해결 방법
모듈러스 크기가 2,048비트 미만인 RSA 키를 사용하려면 인증서 발급 정책을 사용해서 이를 명시적으로 허용해야 합니다. 이러한 RSA 키를 허용하려면 다음 YAML 예시를 사용합니다.
allowedKeyTypes: - rsa: minModulusSize: 1024