이 페이지에서는 인증서 관리자를 사용할 때 발생할 수 있는 가장 일반적인 오류를 설명합니다. 또한 이러한 오류를 진단하고 해결하는 단계도 제공합니다.
TLS(SSL) 인증서와 관련된 문제
TLS(SSL) 인증서와 관련된 문제 해결에 대한 도움말은 SSL 인증서 문제 해결을 참조하세요.
대상 프록시에서 인증서 맵을 분리할 때 오류 발생
대상 프록시에서 인증서 맵을 분리할 때 다음 오류가 발생합니다.
"There must be at least one certificate configured for a target proxy."
이 오류는 분리하려는 인증서 맵에 지정된 인증서 외에 대상 프록시에 할당된 인증서가 없는 경우에 발생합니다. 맵을 분리하려면 먼저 하나 이상의 인증서를 프록시에 직접 할당하세요.
CA 서비스 인스턴스에서 발급한 인증서 관련 문제
이 섹션에서는 인증서 관리자를 사용하여 CA 서비스 인스턴스에서 발급한 Google 관리형 인증서를 배포할 때 발생할 수 있는 가장 일반적인 오류와 가능한 원인을 설명합니다.
Failed to create Certificate Issuance Config resources
오류가 발생하면 다음을 확인하세요.
- 전체 기간. 유효한 인증서 수명 기간 값은 21~30일입니다.
- 순환 기간 비율. 유효한 순환 기간 비율은 1~99%입니다. 인증서 발급 후 최소 7일이 지나고 만료되기 최소 7일 전에 인증서가 갱신되도록 인증서 수명과 관련하여 순환 기간 비율을 설정해야 합니다.
- 키 알고리즘. 유효한 키 알고리즘 값은
RSA_2048
및ECDSA_P256
입니다. - CA 풀. CA 풀이 없거나 잘못 구성되었습니다.
CA 풀에는 사용 설정된 CA가 하나 이상 포함되어야 하며 호출자는 대상 Google Cloud 프로젝트에 대한
privateca.capools.use
권한이 있어야 합니다. 리전 인증서의 경우 CA 풀과 동일한 위치에서 인증서 발급 구성 리소스를 만들어야 합니다.
Failed to create a managed certificate
오류가 발생하면 다음을 확인하세요.
- 인증서를 만들 때 지정한 인증서 발급 구성 리소스가 있습니다.
- 호출자가 인증서를 만들 때 지정한 인증서 발급 구성 리소스에 대한
certificatemanager.certissuanceconfigs.use
권한을 갖고 있습니다. - 인증서가 인증서 발급 구성 리소스와 동일한 위치에 있습니다.
Failed to renew certificate
또는 Failed to provision
certificate
오류가 발생하면 다음을 확인하세요.
인증서 관리자 서비스 계정이 이 인증서에 사용된 인증서 발급 구성 리소스에서 지정된 CA 풀에 대한
roles/privateca.certificateRequester
권한을 갖고 있습니다.다음 명령어를 사용하여 대상 CA 풀의 권한을 확인합니다.
gcloud privateca pools get-iam-policy CA_POOL --location REGION
다음을 바꿉니다.
CA_POOL
: 대상 CA 풀의 전체 리소스 경로 및 이름입니다.REGION
: 대상 Google Cloud 리전입니다.
인증서 발급 정책이 적용됩니다. 자세한 내용은 발급 정책 제한사항 관련 문제를 참조하세요.
발급 정책 제한 관련 문제
인증서 관리자가 인증서 발급 정책으로 발생된 인증서 변경사항을 지원하지 않는 경우 인증서 프로비저닝이 실패하고 관리형 인증서 상태가 Failed
로 변경됩니다. 이 문제를 해결하려면 다음을 확인하세요.
앞의 문제의 경우 CA 서비스가 이미 인증서를 발급했으므로 CA 서비스 가격 책정에 따라 요금이 청구됩니다.
Rejected for issuing certificates from the configured
CA Pool
오류가 발생하는 경우 이는 인증서 발급 정책이 요청된 인증서를 차단했음을 나타냅니다. 오류를 해결하려면 다음을 확인하세요.
앞의 문제의 경우 CA 서비스가 인증서를 발급하지 않았기 때문에 CA 서비스로 요금이 청구되지 않습니다.
IAP 호스트 이름 일치 관련 문제
Identity-Aware Proxy(IAP)와 함께 인증서 관리자를 사용할 때 예기치 않게 The host name provided does not match the
SSL certificate on the server
오류가 발생하면 해당 호스트 이름에 유효한 인증서를 사용하고 있는지 확인하세요. 또한 인증서 맵에서 구성한 인증서 맵 항목을 나열합니다. IAP와 함께 사용할 모든 호스트 이름 또는 와일드 카드 호스트 이름에는 전용 항목이 있어야 합니다. 호스트 이름의 인증서 맵 항목이 없으면 인증서 맵 항목을 만듭니다.
인증서 선택 중에 기본 인증서 맵 항목으로 대체되는 요청은 항상 IAP에서 거부됩니다.