Solução de problemas

Nesta página, mostramos como resolver problemas comuns com o Certificate Authority Service.

A solicitação de API retorna HTTP 403 Forbidden

Se uma solicitação de API retornar HTTP 403 Forbidden com a mensagem Read access to project PROJECT_NAME was denied, use a resolução a seguir.

Resolução

1. Verifique as permissões do IAM do solicitante.
2. Verifique o local da solicitação. As regiões sem suporte podem retornar um erro de permissão negada. Para mais informações sobre locais compatíveis, consulte Locais.

A exclusão de uma AC retorna uma pré-condição de falha HTTP 412

Se você vir os seguintes erros de pré-condição com falha ao excluir uma CA, use a resolução nesta seção.

• Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Resolução

Uma CA precisa estar no estado DISABLED ou STAGED para ser excluída. Verifique o estado da CA antes de programá-la para exclusão. Consulte Estados de CA para saber mais.

Falha na emissão do certificado

O CA Service fornece vários controles de políticas que podem ser usados para gerenciar a emissão de certificados. Para saber mais sobre os controles de política, consulte Visão geral de modelos de certificado e políticas de emissão.

A emissão de certificados pode falhar por vários motivos. Alguns deles são os seguintes:

• Conflito entre a política de emissão de certificado do pool de ACs e o modelo de certificado.

  Por exemplo, considere que a política de emissão define uma extensão foo e atribui a ela o valor bar e o modelo de certificado define a extensão foo e atribui a ela o valor bat. Atribuir dois valores diferentes à mesma extensão cria um conflito.

  Resolução

  Analise a política de emissão de certificados do pool de ACs em relação ao modelo de certificado e identifique e resolva os conflitos.

  Para saber mais sobre políticas de emissão, consulte Adicionar uma política de emissão de certificados a um pool de ACs.

• O assunto ou os nomes alternativos do assunto (SANs, na sigla em inglês) falham na avaliação da expressão CEL no modelo de certificado ou na política de emissão de certificados do pool de ACs.

  Resolução

  Revise a política de emissão de certificados e o modelo de certificado do pool de ACs e verifique se o assunto e a SAN atendem às condições definidas pelas expressões Common Expression Language (CEL). Para mais informações sobre as expressões CEL, consulte Como usar a Common Expression Language.

• Papel do IAM incorreto sendo concedido para um caso de uso. Por exemplo, atribuir o papel roles/privateca.certificateRequester para identidade refletida ou o papel roles/privateca.workloadCertificateRequester para o modo de identidade padrão.

  Resolução

  Confirme que você atribuiu o papel roles/privateca.certificateRequester ao modo de identidade padrão e o papel roles/privateca.workloadCertificateRequester para a identidade refletida. Para mais informações sobre como usar a reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.

• Tentativa de usar o modo de identidade refletida em um cenário sem suporte, como sem a identidade da carga de trabalho do Hub. Um cenário sem suporte para reflexão de identidade retorna a seguinte mensagem de erro:

  Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
  

  Resolução

  Determine que tipo de identidade você precisa usar: identidade padrão ou identidade refletida. Se você precisar usar a identidade refletida, faça isso em um dos cenários com suporte. Para mais informações sobre reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.

• A restrição padrão de tamanho de chave rejeita chaves RSA com tamanho de módulo menor que 2.048 bits.

  As práticas recomendadas do setor recomendam o uso de uma Chave RSA de pelo menos 2.048 bits. Por padrão, o serviço de CA impede a emissão de certificados usando uma chave RSA com tamanho de módulo menor que 2.048 bits.

  Resolução

  Se você quiser usar uma Chave RSA com tamanho de módulo menor que 2.048 bits, permita explicitamente usando a política de emissão de certificados. Use o exemplo YAML a seguir para permitir essas chaves RSA:

  allowedKeyTypes:
  - rsa:
      minModulusSize: 1024
  

A seguir

• Saiba mais sobre as práticas recomendadas para usar o Certificate Authority Service (em inglês).
• Perguntas frequentes