Résoudre les problèmes liés au Gestionnaire de certificats

Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lors de l'utilisation du Gestionnaire de certificats. Il fournit également les étapes à suivre pour diagnostiquer et résoudre ces erreurs.

Problèmes liés aux certificats TLS (SSL)

Pour obtenir de l'aide pour résoudre les problèmes liés aux certificats TLS (SSL), consultez la section Résoudre les problèmes liés aux certificats SSL.

Erreur lors de la dissociation d'une mise en correspondance de certificats d'un proxy cible

Lorsque vous déconnectez un mappage de certificat d'un proxy cible, l'erreur suivante s'affiche:

"There must be at least one certificate configured for a target proxy."

Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible, à l'exception de ceux spécifiés dans la carte de certificats que vous essayez de dissocier. Pour dissocier la carte, attribuez d'abord un ou plusieurs certificats directement au proxy.

Erreur lors de l'association d'une entrée de mappage de certificats à un certificat

Lorsque vous associez une entrée de mappage de certificat à un certificat, l'erreur suivante s'affiche:

"certificate can't be used more than 100 times"

Cette erreur se produit lorsque vous essayez d'associer une entrée de mappage de certificats à un certificat déjà associé à 100 entrées de mappage de certificats. Pour identifier le problème, procédez comme suit :

• Pour les certificats gérés par Google, créez un autre certificat. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis joignez-le à l'équilibreur de charge.
• Pour les certificats autogérés, importez-les à nouveau avec un nouveau nom. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis joignez-le à l'équilibreur de charge.

Problèmes liés aux certificats émis par une instance de service CA

Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le Gestionnaire de certificats pour déployer des certificats gérés par Google émis par votre instance de service d'autorité de certification, ainsi que les causes possibles.

Si l'erreur Failed to create Certificate Issuance Config resources s'affiche, vérifiez les points suivants:

• Durée de vie Les valeurs de durée de vie du certificat valides sont comprises entre 21 et 30 jours.
• Pourcentage de la période de rotation. Les pourcentages de période de rotation valides sont compris entre 1 et 99 %. Vous devez définir le pourcentage de la période de rotation en fonction de la durée de validité du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration.
• Algorithme de clé Les valeurs valides pour l'algorithme de clé sont RSA_2048 et ECDSA_P256.
• Pool d'autorités de certification Le pool d'autorités de certification n'existe pas ou est mal configuré. Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'appelant doit disposer de l'autorisation privateca.capools.use sur le projet Google Cloud cible. Pour les certificats régionaux, la ressource de configuration de l'émission de certificats doit être créée au même emplacement que le pool d'autorités de certification.

Si vous recevez une erreur Failed to create a managed certificate, vérifiez les points suivants:

• La ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat existe.
• L'appelant dispose de l'autorisation certificatemanager.certissuanceconfigs.use sur la ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat.
• Le certificat se trouve au même emplacement que la ressource de configuration de l'émission de certificats.

Si vous recevez une erreur Failed to renew certificate ou Failed to provision certificate, vérifiez les points suivants:

• Le compte de service Certificate Manager dispose de l'autorisation roles/privateca.certificateRequester sur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.

  Utilisez la commande suivante pour vérifier les autorisations sur le pool d'autorités de certification cible:

  gcloud privateca pools get-iam-policy CA_POOL
  --location REGION
  

  Remplacez les éléments suivants :

  • CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification cible
  • REGION: région cible Google Cloud

• Une politique d'émission de certificats est en vigueur. Pour en savoir plus, consultez Problèmes liés aux restrictions liées aux règles d'émission.

Problèmes liés aux restrictions liées aux règles d'émission

Si le Gestionnaire de certificats n'est pas compatible avec les modifications apportées à un certificat par la stratégie d'émission de certificats, le provisionnement de certificats échoue et l'état du certificat géré passe à Failed. Pour résoudre le problème, vérifiez les points suivants:

• Les contraintes d'identité du certificat permettent le transfert de l'objet et de l'autre nom de l'objet (SAN).
• La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration d'émission de certificats.

Pour les problèmes précédents, comme CA Service a déjà émis le certificat, vous êtes facturé selon les tarifs de CA Service.

Si vous recevez l'erreur Rejected for issuing certificates from the configured CA Pool, cela signifie que la stratégie d'émission de certificats a bloqué le certificat demandé. Pour résoudre l'erreur, vérifiez les points suivants:

• Le mode d'émission du certificat autorise les demandes de signature de certificat (CSR).
• Les types de clés autorisés sont compatibles avec l'algorithme de clé de la ressource de configuration d'émission de certificats utilisée.

Pour les problèmes précédents, comme le service CA n'a pas émis le certificat, vous n'êtes pas facturé par le service CA.

Problèmes liés à la mise en correspondance des noms d'hôte IAP

Si vous recevez une erreur The host name provided does not match the SSL certificate on the server inattendue lorsque vous utilisez le Gestionnaire de certificats avec Identity-Aware Proxy (IAP), vérifiez que vous utilisez un certificat valide pour ce nom d'hôte. Listez également les entrées de mappage de certificats que vous avez configurées dans votre mappage de certificats. Chaque nom d'hôte ou nom d'hôte générique que vous prévoyez d'utiliser avec l'IAP doit disposer d'une entrée dédiée. Si l'entrée de mappage de certificat pour votre nom d'hôte est manquante, créez une entrée de mappage de certificat.

Les requêtes qui reviennent à l'entrée de mappage de certificat principale lors de la sélection de certificat sont toujours refusées par l'IAP.

Échecs de validation de domaine multiperspective

Google Cloud renouvelle régulièrement vos certificats gérés par Google, en les demandant aux autorités de certification. Les autorités de certification avec lesquellesGoogle Cloud fonctionne pour renouveler vos certificats utilisent une méthode de validation de domaine multiperspective appelée Multi-Perspective Issuance Corroboration (MPIC). Dans le cadre de ce processus, les autorités de certification valident le contrôle du domaine en vérifiant les paramètres DNS du domaine et, dans certains cas, en essayant de contacter le serveur derrière l'adresse IP du domaine. Ces vérifications sont effectuées à partir de plusieurs points de vue sur Internet. Si le processus de validation échoue, les certificats gérés par Google ne sont pas renouvelés. Par conséquent, votre équilibreur de charge fournit un certificat expiré aux clients, ce qui entraîne des erreurs de certificat pour les utilisateurs de navigateurs et des échecs de connexion pour les clients d'API.

Pour éviter les échecs de validation de domaine multiperspective pour les enregistrements DNS mal configurés, notez les points suivants:

• Vos enregistrements DNS A (IPv4) et DNS AAAA (IPv6) pour vos domaines et tous vos sous-domaines pointent uniquement vers l'adresse IP (ou les adresses IP) associée à la ou aux règles de transfert de l'équilibreur de charge. L'existence d'autres adresses dans l'enregistrement peut entraîner l'échec de la validation.
• L'autorité de certification, qui valide les enregistrements DNS, interroge les enregistrements DNS à partir de plusieurs emplacements. Assurez-vous que votre fournisseur DNS répond de manière cohérente à toutes les requêtes de validation de domaine global.
• L'utilisation de GeoDNS (qui renvoie différentes adresses IP en fonction de l'emplacement de la requête) ou de règles DNS basées sur la localisation peut entraîner des réponses incohérentes et l'échec de la validation. Si votre fournisseur DNS utilise GeoDNS, désactivez-le ou assurez-vous que toutes les régions renvoient l'adresse IP du même équilibreur de charge.
• Si vous utilisez la méthode d'autorisation de l'équilibreur de charge pour provisionner des certificats gérés par Google, vous devez spécifier explicitement les adresses IP de votre équilibreur de charge dans votre configuration DNS. Les couches intermédiaires, telles qu'un CDN, peuvent entraîner un comportement imprévisible. L'adresse IP doit être directement accessible sans redirection, pare-feu ni CDN dans le chemin de la requête. Pour en savoir plus, consultez la section Équilibreurs de charge derrière un CDN de ce document.
• Nous vous recommandons d'utiliser un vérificateur de propagation DNS mondial de votre choix pour vérifier que tous les enregistrements DNS pertinents sont résolus correctement et de manière cohérente dans le monde entier.

Vérifier les modifications de configuration

Une fois que vous avez configuré vos enregistrements DNS, vous pouvez vérifier qu'ils sont corrects en créant un certificat et en l'associant à votre équilibreur de charge avec le certificat existant. Cette étape force une vérification immédiate du provisionnement de certificat auprès de l'autorité de certification, ce qui vous permet de vérifier les modifications de votre configuration en quelques minutes. Sans cela, le renouvellement automatique du certificat existant peut prendre des jours ou des semaines, ce qui laisse planer le doute sur votre configuration.

Si l'état du certificat devient ACTIVE, cela signifie que le certificat a été émis, ce qui confirme que votre configuration DNS est correcte. À ce stade, nous vous recommandons de supprimer le certificat précédent pour éviter d'avoir deux certificats distincts pour le même domaine. Ce processus n'interrompt pas le trafic vers votre équilibreur de charge.

Le nouveau certificat sert d'outil de validation. Sa création confirme que la validation multiperspective du domaine à l'aide de MPIC fonctionne correctement pour votre configuration.

Équilibreurs de charge derrière un CDN

Pour les équilibreurs de charge sur lesquels le CDN est activé, certains fournisseurs CDN tiers dans le chemin de requête peuvent empêcher la réussite des requêtes de validation. Cela peut se produire si le fournisseur CDN transmet activement le trafic HTTP(S) au proxy.

Dans ce cas, nous vous recommandons d'utiliser la méthode d'autorisation DNS pour provisionner des certificats gérés par Google. Cette dernière approche ne nécessite pas que l'autorité de certification contacte votre équilibreur de charge.

Étape suivante

• Notes de version du gestionnaire de certificats
• Compatibilité avec le gestionnaire de certificats