Esta página se ha traducido con Cloud Translation API.

Solucionar problemas del administrador de certificados

En esta página se describen los errores más habituales que pueden producirse al usar Gestor de certificados. También se indican los pasos para diagnosticar y resolver esos errores.

Problemas relacionados con los certificados TLS (SSL)

Si necesitas ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta el artículo Solucionar problemas de certificados SSL.

Error al separar una asignación de certificados de un proxy de destino

Cuando desvinculas un mapa de certificados de un proxy de destino, se produce el siguiente error:

"There must be at least one certificate configured for a target proxy."

Este error se produce cuando no hay ningún certificado asignado al proxy de destino, aparte de los especificados en el mapa de certificados que está intentando desvincular. Para separar el mapa, primero asigna uno o varios certificados directamente al proxy.

Error al asociar una entrada de mapa de certificados con un certificado

Al asociar una entrada de mapa de certificados con un certificado, aparece el siguiente error:

"certificate can't be used more than 100 times"

Este error se produce cuando intentas asociar una entrada de mapa de certificados con un certificado que ya está asociado a 100 entradas de mapa de certificados. Para solucionar el problema, siga estos pasos:

En el caso de los certificados gestionados por Google, crea otro certificado. Asocia las nuevas entradas de asignación de certificados a este nuevo certificado y adjunta el nuevo certificado al balanceador de carga.
En el caso de los certificados autogestionados, vuelva a subir el certificado con un nombre nuevo. Asocia las nuevas entradas de asignación de certificados a este nuevo certificado y adjunta el nuevo certificado al balanceador de carga.

Problemas relacionados con los certificados emitidos por una instancia del Servicio de Autoridades de Certificación

En esta sección se enumeran los errores más habituales que pueden producirse al usar el Administrador de certificados para implementar certificados gestionados por Google emitidos por tu instancia de servicio de AC, así como sus posibles causas.

Si recibes el error Failed to create Certificate Issuance Config resources, comprueba lo siguiente:

El tiempo de vida. Los valores válidos del tiempo de vida del certificado están comprendidos entre 21 y 30 días.
El porcentaje de la ventana de rotación. Los porcentajes válidos de la ventana de rotación son del 1 al 99 %. Debe definir el porcentaje de la ventana de rotación en relación con el tiempo de validez del certificado para que la renovación se produzca al menos 7 días después de que se haya emitido y al menos 7 días antes de que caduque.
El algoritmo de la clave. Los valores válidos del algoritmo de claves son RSA_2048 y ECDSA_P256.
El grupo de autoridades de certificación. El grupo de CAs no existe o está mal configurado. El grupo de CAs debe contener al menos una CA habilitada y el llamante debe tener el permiso privateca.capools.use en el proyecto de destinoGoogle Cloud . En el caso de los certificados regionales, el recurso de configuración de emisión de certificados debe crearse en la misma ubicación que el grupo de ACs.

Si recibes un error Failed to create a managed certificate, comprueba lo siguiente:

El recurso de configuración de emisión de certificados que has especificado al crear el certificado existe.
La persona que llama tiene el permiso certificatemanager.certissuanceconfigs.use en el recurso de configuración de emisión de certificados que especificaste al crear el certificado.
El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.

Si recibes un error Failed to renew certificate o Failed to provision certificate, comprueba lo siguiente:

La cuenta de servicio de Gestor de certificados tiene el permiso roles/privateca.certificateRequester en el grupo de CAs especificado en el recurso de configuración de emisión de certificados usado para este certificado.

Usa el siguiente comando para comprobar los permisos del grupo de CAs de destino:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Haz los cambios siguientes:
- CA_POOL: ruta y nombre completos del recurso del grupo de autoridades de certificación de destino.
- REGION: la Google Cloud región de destino
Hay una política de emisión de certificados en vigor. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.

Problemas relacionados con las restricciones de la política de emisión

Si Gestor de certificados no admite los cambios realizados en un certificado por la política de emisión de certificados, el aprovisionamiento del certificado falla y el estado del certificado gestionado cambia a Failed. Para solucionar el problema, compruebe lo siguiente:

Las restricciones de identidad del certificado permiten que se transfieran el sujeto y el nombre alternativo del sujeto (SAN).
La restricción de duración máxima del certificado es superior a la duración del recurso de configuración de emisión del certificado.

En los casos anteriores, como el Servicio de Autoridades de Certificación ya ha emitido el certificado, se te facturará según los precios del Servicio de Autoridades de Certificación.

Si recibes el error Rejected for issuing certificates from the configured CA Pool, significa que la política de emisión de certificados ha bloqueado el certificado solicitado. Para solucionar el error, compruebe lo siguiente:

El modo de emisión del certificado permite solicitudes de firma de certificado (CSRs).
Los tipos de clave permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se esté usando.

En los casos anteriores, como el Servicio de AC no ha emitido el certificado, no se te cobrará por él.

Problemas relacionados con la coincidencia de nombres de host de IAP

Si recibes el error The host name provided does not match the SSL certificate on the server de forma inesperada al usar Gestor de certificados con Identity-Aware Proxy (IAP), comprueba que estés usando un certificado válido para ese nombre de host. También enumera las entradas del mapa de certificados que hayas configurado en tu mapa de certificados. Cada nombre de host o nombre de host comodín que quieras usar con IAP debe tener una entrada específica. Si falta la entrada del mapa de certificados de tu nombre de host, crea una entrada de mapa de certificados.

IAP siempre rechaza las solicitudes que recurren a la entrada del mapa de certificados principal durante la selección de certificados.

Errores de validación de dominio desde varias perspectivas

Google Cloud renueva periódicamente tus certificados gestionados por Google solicitándolos a autoridades de certificación (ACs). Las autoridades de certificación con las queGoogle Cloud trabaja para renovar tus certificados usan un método de validación de dominio multiperspectiva conocido como corroboración de emisión multiperspectiva (MPIC). Como parte de este proceso, las autoridades de certificación verifican el control del dominio comprobando la configuración de DNS del dominio y, en el caso de la autorización del balanceador de carga, intentando ponerse en contacto con el servidor que hay detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de vista de Internet. Si el proceso de validación falla, los certificados gestionados por Google no se renuevan. Como resultado, el balanceador de carga sirve un certificado caducado a los clientes, lo que provoca que los usuarios del navegador se encuentren con errores de certificado y que los clientes de la API experimenten fallos de conexión.

Para evitar que se produzcan errores de validación de dominio desde varias perspectivas debido a registros DNS mal configurados, ten en cuenta lo siguiente:

Los registros A de DNS (IPv4) y AAAA de DNS (IPv6) de tus dominios y subdominios deben apuntar únicamente a la dirección o direcciones IP asociadas a la regla o reglas de reenvío del balanceador de carga. La existencia de cualquier otra dirección en el registro puede provocar que la validación falle.
La autoridad certificadora, que valida los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de forma coherente a todas las solicitudes de validación de dominio globales.
Si se usan GeoDNS (que devuelve direcciones IP diferentes en función de la ubicación de la solicitud) o políticas de DNS basadas en la ubicación, se pueden producir respuestas incoherentes y la validación puede fallar. Si tu proveedor de DNS usa GeoDNS, inhabilítalo o asegúrate de que todas las regiones devuelvan la misma dirección IP del balanceador de carga.
Si usas el método de autorización del balanceador de carga para aprovisionar certificados gestionados por Google, debes especificar explícitamente las direcciones IP de tu balanceador de carga en tu configuración de DNS. Las capas intermedias, como una CDN, pueden provocar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redirecciones, cortafuegos ni CDNs en la ruta de solicitud. Para obtener más información, consulta la sección Balanceadores de carga detrás de una CDN de este documento.
Te recomendamos que uses un comprobador de propagación global de DNS de tu elección para verificar que todos los registros DNS relevantes se resuelven correctamente y de forma coherente en todo el mundo.

Verificar los cambios de configuración

Una vez que hayas configurado los registros DNS, puedes verificar que sean correctos creando un certificado y conectándolo a tu balanceador de carga junto con el certificado actual. Este paso fuerza una comprobación inmediata del aprovisionamiento de certificados con la AC, lo que te permite verificar los cambios en la configuración en cuestión de minutos. Si no lo haces, la renovación automática del certificado puede tardar días o semanas, lo que genera incertidumbre sobre tu configuración.

Si el estado del certificado pasa a ser ACTIVE, significa que se ha emitido el certificado y, por lo tanto, que la configuración de DNS es correcta. En este punto, te recomendamos que elimines el certificado anterior para evitar tener dos certificados independientes para el mismo dominio. Este proceso no interrumpe el tráfico a tu balanceador de carga.

El nuevo certificado sirve como herramienta de validación: su creación confirma que la validación de dominio multiperspectiva mediante MPIC funciona correctamente en tu configuración.

Balanceadores de carga detrás de una CDN

En el caso de los balanceadores de carga que tienen habilitada la CDN, es posible que algunos proveedores de CDN de terceros en la ruta de la solicitud impidan que las solicitudes de validación se completen correctamente. Esto puede ocurrir si el proveedor de CDN está proxyizando activamente el tráfico HTTP(S).

En estos casos, te recomendamos que utilices el método de autorización de DNS para aprovisionar certificados gestionados por Google. Con este último método, la CA no tiene que ponerse en contacto con tu balanceador de carga.

Solucionar problemas del administrador de certificados Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.