Fehlerbehebung beim Zertifikat-Manager

Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung des Zertifikatsmanagers auftreten können. Außerdem werden Schritte zur Diagnose und Behebung dieser Fehler beschrieben.

Informationen zum Beheben von Problemen mit TLS- (SSL-)Zertifikaten finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.

Fehler beim Entfernen einer Zertifikatzuordnung von einem Zielproxy

Wenn Sie eine Zertifikatszuordnung von einem Ziel-Proxy trennen, wird der folgende Fehler angezeigt:

"There must be at least one certificate configured for a target proxy."

Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate als die in der Zertifikatzuordnung zugewiesen sind, die Sie trennen möchten. Wenn Sie die Zuordnung aufheben möchten, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.

Fehler beim Verknüpfen eines Eintrags der Zertifikatszuordnung mit einem Zertifikat

Wenn Sie einen Eintrag der Zertifikatszuordnung mit einem Zertifikat verknüpfen, erhalten Sie folgende Fehlermeldung:

"certificate can't be used more than 100 times"

Dieser Fehler tritt auf, wenn Sie versuchen, einen Eintrag der Zertifikatszuordnung mit einem Zertifikat zu verknüpfen, das bereits mit 100 Einträgen der Zertifikatszuordnung verknüpft ist. So beheben Sie das Problem:

  • Erstellen Sie für von Google verwaltete Zertifikate ein weiteres Zertifikat. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.
  • Laden Sie selbstverwaltete Zertifikate noch einmal mit einem neuen Namen hoch. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.

Probleme im Zusammenhang mit von einer CA Service-Instanz ausgestellten Zertifikaten

In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die bei der Bereitstellung von von Ihrer CA Service-Instanz ausgestellten, von Google verwalteten Zertifikaten mit Zertifikatmanager auftreten können, sowie ihre möglichen Ursachen.

Wenn Sie den Fehler Failed to create Certificate Issuance Config resources erhalten, prüfen Sie Folgendes:

  • Die Lebensdauer. Gültige Werte für die Zertifikatslaufzeit liegen zwischen 21 und 30 Tagen.
  • Der Prozentsatz des Rotationsfensters. Gültige Prozentsätze für das Rotationsfenster liegen zwischen 1 und 99 Prozent. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslaufzeit festlegen, damit die Zertifikatsverlängerung mindestens 7 Tage nach der Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf des Zertifikats erfolgt.
  • Der Schlüsselalgorithmus Gültige Werte für den Schlüsselalgorithmus sind RSA_2048 und ECDSA_P256.
  • Der CA-Pool Der CA-Pool ist entweder nicht vorhanden oder falsch konfiguriert. Der CA-Pool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung privateca.capools.use für das Ziel-Google Cloud-Projekt haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatausstellung am selben Speicherort wie der CA-Pool erstellt werden.

Wenn der Fehler Failed to create a managed certificate ausgegeben wird, prüfen Sie Folgendes:

  • Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
  • Der Aufrufer hat die Berechtigung certificatemanager.certissuanceconfigs.use für die Konfigurationsressource zur Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben.
  • Das Zertifikat befindet sich am selben Speicherort wie die Konfigurationsressource für die Zertifikatausstellung.

Wenn Sie den Fehler Failed to renew certificate oder Failed to provision certificate erhalten, prüfen Sie Folgendes:

  • Das Dienstkonto „Certificate Manager“ hat die Berechtigung roles/privateca.certificateRequester für den CA-Pool, der in der Konfigurationsressource für die Zertifikatausstellung für dieses Zertifikat angegeben ist.

    Mit dem folgenden Befehl können Sie die Berechtigungen für den Ziel-CA-Pool prüfen:

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    Ersetzen Sie Folgendes:

    • CA_POOL: der vollständige Ressourcenpfad und der Name des Ziel-CA-Pools
    • REGION: die Zielregion Google Cloud
  • Es gilt eine Richtlinie für die Ausstellung von Zertifikaten. Weitere Informationen finden Sie unter Probleme im Zusammenhang mit Einschränkungen der Richtlinien zur Ausstellung.

Probleme im Zusammenhang mit Einschränkungen der Richtlinien für die Ausstellung

Wenn der Zertifikatsmanager die Änderungen an einem Zertifikat, die durch die Richtlinie zur Zertifikatsausstellung vorgenommen wurden, nicht unterstützt, schlägt die Zertifikatsbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich zu Failed. Prüfen Sie Folgendes, um das Problem zu beheben:

  • Die Identitätseinschränkungen des Zertifikats ermöglichen die Weiterleitung des Antragstellers und des alternativen Antragstellernamens (Subject Alternative Name, SAN).
  • Die Einschränkung für die maximale Lebensdauer des Zertifikats ist länger als die Lebensdauer der Konfigurationsressource für die Zertifikatsausstellung.

Da der CA-Dienst das Zertifikat bereits ausgestellt hat, werden Ihnen die Kosten für die vorherigen Probleme gemäß den Preisen für den CA-Dienst in Rechnung gestellt.

Wenn Sie den Fehler Rejected for issuing certificates from the configured CA Pool erhalten, wurde das angeforderte Zertifikat durch die Richtlinie zur Zertifikatsausstellung blockiert. Prüfen Sie Folgendes, um den Fehler zu beheben:

  • Der Ausstellungsmodus des Zertifikats erlaubt Anfragen zur Zertifikatssignatur (Certificate Signing Request, CSR).
  • Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Konfigurationsressource für die Zertifikatausstellung kompatibel.

Da der CA-Dienst das Zertifikat nicht ausgestellt hat, werden Ihnen die vorherigen Probleme nicht in Rechnung gestellt.

Probleme mit der Übereinstimmung von IAP-Hostnamen

Wenn Sie bei der Verwendung des Zertifikatsmanagers mit Identity-Aware Proxy (IAP) unerwartet den Fehler The host name provided does not match the SSL certificate on the server erhalten, prüfen Sie, ob Sie ein Zertifikat verwenden, das für diesen Hostnamen gültig ist. Listen Sie auch die Einträge für die Zertifikatszuordnung auf, die Sie in Ihrer Zertifikatszuordnung konfiguriert haben. Jeder Hostname oder Wildcard-Hostname, den Sie mit IAP verwenden möchten, muss einen eigenen Eintrag haben. Wenn der Eintrag in der Zertifikatszuordnung für Ihren Hostnamen fehlt, erstellen Sie einen Eintrag in der Zertifikatszuordnung.

Anfragen, die bei der Zertifikatsauswahl auf den primären Eintrag der Zertifikatszuordnung zurückgreifen, werden von IAP immer abgelehnt.

Nächste Schritte