Memecahkan Masalah Pengelola Sertifikat

Halaman ini menjelaskan error paling umum yang mungkin Anda alami saat menggunakan Pengelola Sertifikat. Alat ini juga memberikan langkah-langkah untuk mendiagnosis dan menyelesaikan error tersebut.

Masalah terkait sertifikat TLS (SSL)

Untuk mendapatkan bantuan terkait penyelesaian masalah terkait sertifikat TLS (SSL), lihat Memecahkan masalah sertifikat SSL.

Terjadi error saat melepaskan peta sertifikat dari proxy target

Saat melepas peta sertifikat dari proxy target, Anda akan menerima error berikut:

"There must be at least one certificate configured for a target proxy."

Error ini terjadi jika tidak ada sertifikat yang ditetapkan ke proxy target selain yang ditentukan dalam peta sertifikat yang Anda coba lepaskan. Untuk melepaskan peta, tetapkan satu atau beberapa sertifikat langsung ke proxy terlebih dahulu.

Terjadi error saat mengaitkan entri peta sertifikat dengan sertifikat

Saat mengaitkan entri peta sertifikat dengan sertifikat, Anda akan menerima error berikut:

"certificate can't be used more than 100 times"

Error ini terjadi saat Anda mencoba mengaitkan entri peta sertifikat dengan sertifikat yang sudah dikaitkan dengan 100 entri peta sertifikat. Untuk menyelesaikan masalah, lakukan hal berikut:

• Untuk sertifikat yang dikelola Google, buat sertifikat lain. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, dan lampirkan sertifikat baru ke load balancer.
• Untuk sertifikat yang dikelola sendiri, upload ulang sertifikat dengan nama baru. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, dan lampirkan sertifikat baru ke load balancer.

Masalah terkait sertifikat yang diterbitkan oleh instance CA Service

Bagian ini mencantumkan error paling umum yang mungkin Anda temui saat menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola Google yang dikeluarkan oleh instance Layanan CA Anda dan kemungkinan penyebabnya.

Jika Anda menerima error Failed to create Certificate Issuance Config resources, periksa hal berikut:

• Masa aktif. Nilai masa berlaku sertifikat yang valid adalah dari 21 hingga 30 hari.
• Persentase periode rotasi. Persentase periode rotasi yang valid berkisar dari 1 hingga 99 persen. Anda harus menetapkan persentase periode rotasi sehubungan dengan masa berlaku sertifikat sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat dikeluarkan dan setidaknya 7 hari sebelum masa berlakunya berakhir.
• Algoritma kunci. Nilai algoritma kunci yang valid adalah: RSA_2048 dan ECDSA_P256.
• Kumpulan CA. Kumpulan CA tidak ada atau salah dikonfigurasi. Kumpulan CA harus berisi minimal satu CA yang diaktifkan dan pemanggil harus memiliki izin privateca.capools.use di project Google Cloud target. Untuk sertifikat regional, resource konfigurasi penerbitan sertifikat harus dibuat di lokasi yang sama dengan kumpulan CA.

Jika Anda menerima error Failed to create a managed certificate, periksa hal berikut:

• Resource konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat sudah ada.
• Pemanggil memiliki izin certificatemanager.certissuanceconfigs.use pada resource Konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat.
• Sertifikat berada di lokasi yang sama dengan resource konfigurasi pemberian sertifikat.

Jika Anda menerima error Failed to renew certificate atau Failed to provision certificate, periksa hal berikut:

• Akun layanan Pengelola Sertifikat memiliki izin roles/privateca.certificateRequester pada kumpulan CA yang ditentukan dalam resource konfigurasi penerbitan sertifikat yang digunakan untuk sertifikat ini.

  Gunakan perintah berikut untuk memeriksa izin di kumpulan CA target:

  gcloud privateca pools get-iam-policy CA_POOL
  --location REGION
  

  Ganti kode berikut:

  • CA_POOL: jalur resource lengkap dan nama kumpulan CA target
  • REGION: region Google Cloud target

• Kebijakan penerbitan sertifikat berlaku. Untuk mengetahui informasi selengkapnya, lihat Masalah terkait pembatasan kebijakan pemberian.

Masalah terkait pembatasan kebijakan penerbitan

Jika Pengelola Sertifikat tidak mendukung perubahan pada sertifikat yang dibuat oleh kebijakan penerbitan sertifikat, penyediaan sertifikat akan gagal dan status sertifikat terkelola akan berubah menjadi Failed. Untuk mengatasi masalah ini, pastikan hal berikut:

• Batasan identitas sertifikat memungkinkan penerusan subjek dan nama alternatif subjek (SAN).
• Batasan masa berlaku maksimum sertifikat lebih besar dari masa berlaku resource konfigurasi pemberian sertifikat.

Untuk masalah sebelumnya, karena CA Service telah menerbitkan sertifikat, Anda akan ditagih sesuai dengan harga CA Service.

Jika Anda menerima error Rejected for issuing certificates from the configured CA Pool, hal ini menunjukkan bahwa kebijakan penerbitan sertifikat telah memblokir sertifikat yang diminta. Untuk mengatasi error, periksa hal berikut:

• Mode penerbitan sertifikat memungkinkan permintaan penandatanganan sertifikat (CSR).
• Jenis kunci yang diizinkan kompatibel dengan algoritma kunci resource konfigurasi penerbitan sertifikat yang digunakan.

Untuk masalah sebelumnya, karena Layanan CA belum menerbitkan sertifikat, Anda tidak ditagih oleh Layanan CA.

Masalah terkait pencocokan nama host IAP

Jika Anda tiba-tiba mendapatkan error, The host name provided does not match the SSL certificate on the server, saat menggunakan Pengelola Sertifikat dengan Identity-Aware Proxy (IAP), pastikan Anda menggunakan sertifikat yang valid untuk nama host tersebut. Selain itu, cantumkan entri peta sertifikat yang telah Anda konfigurasikan di peta sertifikat. Setiap nama host atau nama host karakter pengganti yang ingin Anda gunakan dengan IAP harus memiliki entri khusus. Jika entri peta sertifikat untuk nama host Anda tidak ada, buat entri peta sertifikat.

Permintaan yang kembali ke entri peta sertifikat utama selama pemilihan sertifikat selalu ditolak oleh IAP.

Kegagalan validasi domain multi-perspektif

Google Cloud memperpanjang sertifikat yang dikelola Google secara berkala, dengan memintanya dari certificate authority (CA). CA yang digunakanGoogle Cloud untuk memperpanjang sertifikat Anda menggunakan metode validasi domain multi-perspektif yang dikenal sebagai Multi-Perspective Issuance Corroboration (MPIC). Sebagai bagian dari proses ini, CA memverifikasi kontrol domain dengan memeriksa setelan DNS domain dan, dalam beberapa kasus, dengan mencoba menghubungi server di balik alamat IP domain. Verifikasi ini dilakukan dari beberapa sudut pandang di seluruh internet. Jika proses validasi gagal, sertifikat yang dikelola Google akan gagal diperpanjang. Akibatnya, load balancer Anda akan menayangkan sertifikat yang sudah tidak berlaku kepada klien, sehingga pengguna browser akan mengalami error sertifikat dan klien API akan mengalami kegagalan koneksi.

Untuk mencegah kegagalan validasi domain multi-perspektif untuk data DNS yang salah dikonfigurasi, perhatikan hal-hal berikut:

• Data A DNS (IPv4) dan data AAAA DNS (IPv6) untuk domain dan subdomain apa pun hanya mengarah ke alamat IP (atau alamat) yang terkait dengan aturan penerusan (atau aturan) load balancer. Adanya alamat lain dalam data dapat menyebabkan validasi gagal.
• CA, yang melakukan validasi data DNS, mengkueri data DNS dari beberapa lokasi. Pastikan penyedia DNS Anda merespons secara konsisten semua permintaan validasi domain global.
• Menggunakan GeoDNS (menampilkan alamat IP yang berbeda berdasarkan lokasi permintaan) atau kebijakan DNS berbasis lokasi dapat menyebabkan respons yang tidak konsisten dan menyebabkan validasi gagal. Jika penyedia DNS Anda menggunakan GeoDNS, nonaktifkan, atau pastikan semua region menampilkan alamat IP load balancer yang sama.
• Jika menggunakan metode otorisasi load balancer untuk menyediakan sertifikat yang dikelola Google, Anda harus menentukan alamat IP load balancer secara eksplisit dalam konfigurasi DNS. Lapisan perantara, seperti CDN, dapat menyebabkan perilaku yang tidak dapat diprediksi. Alamat IP harus dapat diakses secara langsung tanpa pengalihan, firewall, atau CDN di jalur permintaan. Untuk mempelajari lebih lanjut, lihat bagian Load balancer di balik CDN dalam dokumen ini.
• Sebaiknya gunakan pemeriksa propagasi global DNS pilihan Anda untuk memverifikasi bahwa semua data DNS yang relevan di-resolve dengan benar dan konsisten di seluruh dunia.

Memverifikasi perubahan konfigurasi

Setelah mengonfigurasi data DNS, Anda dapat memverifikasi bahwa data tersebut sudah benar dengan membuat sertifikat baru dan menghubungkannya ke load balancer bersama dengan sertifikat yang ada. Langkah ini memaksa pemeriksaan penyediaan sertifikat segera dengan CA, sehingga Anda dapat memverifikasi perubahan konfigurasi dalam hitungan menit. Tanpa ini, perpanjangan otomatis sertifikat yang ada dapat memerlukan waktu berhari-hari atau berminggu-minggu, sehingga menimbulkan ketidakpastian tentang penyiapan Anda.

Jika status sertifikat menjadi ACTIVE, hal ini menunjukkan bahwa sertifikat telah diterbitkan, sehingga mengonfirmasi bahwa konfigurasi DNS Anda sudah benar. Pada tahap ini, sebaiknya hapus sertifikat sebelumnya agar tidak memiliki dua sertifikat terpisah untuk domain yang sama. Proses ini tidak mengganggu traffic ke load balancer Anda.

Sertifikat baru berfungsi sebagai alat validasi—pembuatannya mengonfirmasi bahwa validasi domain multi-perspektif menggunakan MPIC berfungsi dengan benar untuk penyiapan Anda.

Load balancer di belakang CDN

Untuk load balancer yang mengaktifkan CDN, beberapa penyedia CDN pihak ketiga di jalur permintaan mungkin mencegah permintaan validasi berhasil. Hal ini dapat terjadi jika penyedia CDN secara aktif melakukan proxy pada traffic HTTP(S).

Dalam kasus tersebut, sebaiknya gunakan metode otorisasi DNS untuk menyediakan sertifikat yang dikelola Google. Pendekatan kedua tidak mengharuskan CA menghubungi load balancer Anda.

Langkah berikutnya

• Catatan rilis Certificate Manager
• Dukungan Certificate Manager