Halaman ini menjelaskan error paling umum yang mungkin Anda alami saat menggunakan Pengelola Sertifikat. Alat ini juga memberikan langkah-langkah untuk mendiagnosis dan mengatasi error tersebut.
Masalah terkait sertifikat TLS (SSL)
Untuk mendapatkan bantuan terkait penyelesaian masalah terkait sertifikat TLS (SSL), lihat Memecahkan masalah sertifikat SSL.
Error saat melepaskan peta sertifikat dari proxy target
Saat melepas peta sertifikat dari proxy target, Anda akan menerima error berikut:
"There must be at least one certificate configured for a target proxy."
Error ini terjadi jika tidak ada sertifikat yang ditetapkan ke proxy target selain yang ditentukan dalam peta sertifikat yang Anda coba lepaskan. Untuk melepaskan peta, tetapkan satu atau beberapa sertifikat langsung ke proxy terlebih dahulu.
Terjadi error saat mengaitkan entri peta sertifikat dengan sertifikat
Saat mengaitkan entri peta sertifikat dengan sertifikat, Anda akan menerima error berikut:
"certificate can't be used more than 100 times"
Error ini terjadi saat Anda mencoba mengaitkan entri peta sertifikat dengan sertifikat yang sudah dikaitkan dengan 100 entri peta sertifikat. Untuk menyelesaikan masalah, lakukan hal berikut:
- Untuk sertifikat yang dikelola Google, buat sertifikat lain. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, dan lampirkan sertifikat baru ke load balancer.
- Untuk sertifikat yang dikelola sendiri, upload ulang sertifikat dengan nama baru. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, dan lampirkan sertifikat baru ke load balancer.
Masalah terkait sertifikat yang diterbitkan oleh instance CA Service
Bagian ini mencantumkan error paling umum yang mungkin Anda temui saat menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola Google yang dikeluarkan oleh instance Layanan CA Anda dan kemungkinan penyebabnya.
Jika Anda menerima error Failed to create Certificate Issuance Config resources,
periksa hal berikut:
- Masa aktif. Nilai masa berlaku sertifikat yang valid adalah dari 21 hingga 30 hari.
- Persentase periode rotasi. Persentase periode rotasi yang valid berkisar dari 1 hingga 99 persen. Anda harus menetapkan persentase periode rotasi sehubungan dengan masa berlaku sertifikat sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat dikeluarkan dan setidaknya 7 hari sebelum masa berlakunya berakhir.
- Algoritma kunci. Nilai algoritma kunci yang valid
adalah:
RSA_2048danECDSA_P256. - Kumpulan CA. Kumpulan CA tidak ada atau salah dikonfigurasi.
Kumpulan CA harus berisi minimal satu CA yang diaktifkan dan
pemanggil harus memiliki izin
privateca.capools.usedi project Google Cloud target. Untuk sertifikat regional, resource konfigurasi penerbitan sertifikat harus dibuat di lokasi yang sama dengan kumpulan CA.
Jika Anda menerima error Failed to create a managed certificate, periksa
hal berikut:
- Resource konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat sudah ada.
- Pemanggil memiliki izin
certificatemanager.certissuanceconfigs.usepada resource Konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat. - Sertifikat berada di lokasi yang sama dengan resource konfigurasi penerbitan sertifikat.
Jika Anda menerima error Failed to renew certificate atau Failed to provision
certificate, periksa hal berikut:
Akun layanan Pengelola Sertifikat memiliki izin
roles/privateca.certificateRequesterpada kumpulan CA yang ditentukan dalam resource konfigurasi penerbitan sertifikat yang digunakan untuk sertifikat ini.Gunakan perintah berikut untuk memeriksa izin di kumpulan CA target:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Ganti kode berikut:
CA_POOL: jalur resource lengkap dan nama kumpulan CA targetREGION: region Google Cloud target
Kebijakan penerbitan sertifikat berlaku. Untuk mengetahui informasi selengkapnya, lihat Masalah terkait pembatasan kebijakan pemberian.
Masalah terkait pembatasan kebijakan penerbitan
Jika Pengelola Sertifikat tidak mendukung perubahan pada
sertifikat yang dibuat oleh kebijakan penerbitan sertifikat, penyediaan sertifikat
akan gagal dan status sertifikat terkelola akan berubah menjadi Failed. Untuk mengatasi masalah ini, konfirmasi hal berikut:
- Batasan identitas sertifikat memungkinkan passthrough subjek dan nama alternatif subjek (SAN).
- Batasan masa berlaku maksimum sertifikat lebih besar dari masa berlaku resource konfigurasi pemberian sertifikat.
Untuk masalah sebelumnya, karena CA Service telah menerbitkan sertifikat, Anda akan ditagih sesuai dengan harga CA Service.
Jika Anda menerima error Rejected for issuing certificates from the configured
CA Pool, hal ini menunjukkan bahwa kebijakan penerbitan sertifikat telah memblokir
sertifikat yang diminta. Untuk mengatasi error, periksa hal berikut:
- Mode penerbitan sertifikat memungkinkan permintaan penandatanganan sertifikat (CSR).
- Jenis kunci yang diizinkan kompatibel dengan algoritma kunci resource konfigurasi penerbitan sertifikat yang digunakan.
Untuk masalah sebelumnya, karena Layanan CA belum menerbitkan sertifikat, Anda tidak ditagih oleh Layanan CA.
Masalah terkait pencocokan nama host IAP
Jika Anda tiba-tiba mendapatkan error, The host name provided does not match the
SSL certificate on the server, saat menggunakan Pengelola Sertifikat dengan
Identity-Aware Proxy (IAP), pastikan Anda menggunakan sertifikat yang
valid untuk nama host tersebut. Selain itu, cantumkan entri peta sertifikat
yang telah Anda konfigurasikan di peta sertifikat. Setiap nama host atau nama host
karakter pengganti yang ingin Anda gunakan dengan IAP harus memiliki entri khusus. Jika entri peta sertifikat untuk nama host Anda tidak ada, buat
entri peta sertifikat.
Permintaan yang kembali ke entri peta sertifikat utama selama pemilihan sertifikat selalu ditolak oleh IAP.