Halaman ini menjelaskan error paling umum yang mungkin Anda alami saat menggunakan Certificate Manager. Panduan ini juga menjelaskan langkah-langkah untuk mendiagnosis dan mengatasi error tersebut.
Masalah terkait sertifikat TLS (SSL)
Untuk mendapatkan bantuan dalam menyelesaikan masalah terkait sertifikat TLS (SSL), lihat Memecahkan masalah sertifikat SSL.
Kesalahan saat melepaskan peta sertifikat dari proxy target
Saat melepaskan peta sertifikat dari proxy target, Anda akan menerima error berikut:
"There must be at least one certificate configured for a target proxy."
Error ini terjadi jika tidak ada sertifikat yang ditetapkan ke proxy target selain sertifikat yang ditentukan dalam peta sertifikat yang ingin Anda lepaskan. Untuk melepaskan peta, pertama-tama tetapkan satu atau beberapa sertifikat secara langsung ke proxy.
Masalah terkait sertifikat yang diterbitkan oleh instance CA Service
Bagian ini mencantumkan error paling umum yang mungkin Anda alami saat menggunakan Certificate Manager untuk men-deploy sertifikat yang dikelola Google yang diterbitkan oleh instance Layanan CA Anda dan kemungkinan penyebabnya.
Jika Anda menerima error Failed to create Certificate Issuance Config resources,
periksa hal-hal berikut:
- Masa pakai. Nilai masa berlaku sertifikat yang valid adalah dari 21 hingga 30 hari.
- Persentase periode rotasi. Persentase periode rotasi yang valid adalah dari 1 hingga 99 persen. Anda harus menetapkan persentase periode rotasi yang terkait dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.
- Algoritma kunci. Nilai algoritme kunci yang valid adalah:
RSA_2048danECDSA_P256. - Kumpulan CA. Kumpulan CA tidak ada atau salah dikonfigurasi.
Kumpulan CA harus berisi setidaknya satu CA yang diaktifkan dan
pemanggil harus memiliki izin
privateca.capools.usedi project Google Cloud target. Untuk sertifikat regional, resource konfigurasi penerbitan sertifikat harus dibuat di lokasi yang sama dengan kumpulan CA.
Jika Anda menerima error Failed to create a managed certificate, periksa hal
berikut:
- Resource konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat sudah ada.
- Pemanggil memiliki izin
certificatemanager.certissuanceconfigs.usepada resource Konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat. - Sertifikat berada di lokasi yang sama dengan resource konfigurasi penerbitan sertifikat.
Jika Anda menerima error Failed to renew certificate atau Failed to provision
certificate, periksa hal berikut:
Akun layanan Pengelola Sertifikat memiliki izin
roles/privateca.certificateRequesterdi kumpulan CA yang ditentukan dalam resource konfigurasi penerbitan sertifikat yang digunakan untuk sertifikat ini.Gunakan perintah berikut untuk memeriksa izin pada kumpulan CA target:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Ganti kode berikut:
CA_POOL: jalur resource lengkap dan nama kumpulan CA targetREGION: region Google Cloud target
Kebijakan penerbitan sertifikat tidak berlaku. Untuk mengetahui informasi selengkapnya, lihat Masalah yang terkait dengan pembatasan kebijakan penerbitan.
Masalah terkait pembatasan kebijakan penerbitan
Jika Certificate Manager tidak mendukung perubahan pada sertifikat yang dibuat oleh kebijakan penerbitan sertifikat, penyediaan sertifikat akan gagal dan status sertifikat terkelola akan berubah menjadi Failed. Untuk mengatasi
masalah ini, konfirmasi hal berikut:
- Batasan identitas sertifikat memungkinkan passthrough subjek dan nama alternatif subjek (SAN).
- Batasan masa aktif maksimum sertifikat lebih besar daripada masa aktif resource konfigurasi penerbitan sertifikat.
Untuk masalah sebelumnya, karena Layanan CA telah menerbitkan sertifikat, Anda akan ditagih sesuai dengan harga Layanan CA.
Jika Anda menerima error Rejected for issuing certificates from the configured
CA Pool, ini menunjukkan bahwa kebijakan penerbitan sertifikat telah memblokir
sertifikat yang diminta. Untuk mengatasi error ini, periksa hal berikut:
- Mode penerbitan sertifikat memungkinkan permintaan penandatanganan sertifikat (CSR).
- Jenis kunci yang diizinkan kompatibel dengan algoritma kunci resource konfigurasi penerbitan sertifikat yang digunakan.
Untuk masalah sebelumnya, karena CA Service belum menerbitkan sertifikat, Anda tidak akan ditagih oleh CA Service.