Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.
Problemas relacionados a certificados TLS (SSL)
Para receber ajuda com a resolução de problemas relacionados a certificados TLS (SSL), consulte Solução de problemas de certificados SSL.
Erro ao desconectar um mapa de certificado de um proxy de destino
Ao desanexar um mapa de certificado de um proxy de destino, você recebe o seguinte erro:
"There must be at least one certificate configured for a target proxy."
Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificado que você está tentando desconectar. Para desconectar o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.
Erro ao associar uma entrada do mapa de certificados a um certificado
Ao associar uma entrada do mapa de certificados a um certificado, você recebe o seguinte erro:
"certificate can't be used more than 100 times"
Esse erro ocorre quando você tenta associar uma entrada do mapa de certificados a um certificado que já está associado a 100 entradas do mapa de certificados. Para resolver o problema, faça o seguinte:
- Para certificados gerenciados pelo Google, crie outro certificado. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
- Para certificados autogerenciados, faça upload do certificado novamente com um novo nome. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
Problemas relacionados a certificados emitidos por uma instância do serviço de AC
Esta seção lista os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância do serviço de AC e as possíveis causas deles.
Se você receber o erro Failed to create Certificate Issuance Config resources,
verifique o seguinte:
- O tempo de vida. Os valores válidos da validade do certificado são de 21 a 30 dias.
- A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99 por cento. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
- O algoritmo de chave. Os valores válidos do algoritmo de chave
são:
RSA_2048eECDSA_P256. - O pool de ACs. O pool de ACs não existe ou está configurado incorretamente.
O pool de ACs precisa conter pelo menos uma AC ativada, e o
autor da chamada precisa ter a permissão
privateca.capools.useno projeto do Google Cloud de destino. Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local do pool de ACs.
Se você receber um erro Failed to create a managed certificate, verifique o
seguinte:
- O recurso de configuração de emissão de certificado que você especificou ao criar o certificado existe.
- O autor da chamada tem a permissão
certificatemanager.certissuanceconfigs.useno recurso de configuração de emissão de certificado que você especificou ao criar o certificado. - O certificado está no mesmo local que o recurso de configuração de emissão de certificados.
Se você receber um erro Failed to renew certificate ou Failed to provision
certificate, verifique o seguinte:
A conta de serviço do Certificate Manager tem a permissão
roles/privateca.certificateRequesterno pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.Use o comando a seguir para verificar as permissões no pool de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Substitua:
CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destinoREGION: a região Google Cloud de destino
Uma política de emissão de certificados está em vigor. Para mais informações, consulte Problemas relacionados a restrições de política de emissão.
Problemas relacionados a restrições de políticas de emissão
Se o Gerenciador de certificados não oferecer suporte às mudanças em um
certificado feitas pela política de emissão de certificados, o provisionamento de certificados
vai falhar e o estado do certificado gerenciado vai mudar para Failed. Para resolver
o problema, confirme o seguinte:
- As restrições de identidade do certificado permitem a transmissão do assunto e do nome alternativo do assunto (SAN, na sigla em inglês).
- A restrição de ciclo de vida máximo do certificado é maior do que o ciclo de vida do recurso de configuração de emissão do certificado.
Para os problemas anteriores, como o serviço de CA já emitiu o certificado, você vai receber uma cobrança de acordo com os preços do serviço de CA.
Se você receber o erro Rejected for issuing certificates from the configured
CA Pool, isso indica que a política de emissão de certificados bloqueou o
certificado solicitado. Para resolver o erro, verifique o seguinte:
- O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs).
- Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração de emissão de certificado usado.
Para os problemas anteriores, como o serviço de AC não emitiu o certificado, você não recebeu cobranças dele.
Problemas relacionados à correspondência de nome de host do IAP
Se você receber o erro The host name provided does not match the
SSL certificate on the server de forma inesperada ao usar o Gerenciador de certificados com o
Identity-Aware Proxy (IAP), verifique se está usando um certificado válido para esse nome de host. Também listar entradas de mapa de certificado
configuradas no mapa de certificado. Cada nome de host ou nome de host curinga
que você pretende usar com o IAP precisa ter uma entrada
dedicada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma
entrada do mapa de certificado.
As solicitações que usam a entrada do mapa de certificado principal durante a seleção de certificado são sempre rejeitadas pelo IAP.