Esta página foi traduzida pela API Cloud Translation.

Solução de problemas do Gerenciador de certificados

Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.

Problemas relacionados aos certificados TLS (SSL)

Para receber ajuda na resolução de problemas relacionados aos certificados TLS (SSL), consulte Como solucionar problemas de SSL do Google Cloud.

Erro ao desconectar um mapa de certificado de um proxy de destino

Quando desanexar um mapa de certificado de um proxy de destino, será exibido o seguinte erro:

"There must be at least one certificate configured for a target proxy."

Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificado que você está tentando desconectar. Para desconectar o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.

Problemas relacionados a certificados emitidos por uma instância de serviço de AC

Esta seção lista os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância do serviço de AC e as possíveis causas deles.

Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:

O ciclo de vida. Ciclo de vida do certificado válido valores são de 21 a 30 dias.
A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99 por cento. Você deve definir a porcentagem da janela de rotação em em relação ao ciclo de vida do certificado, para que a renovação ocorra em pelo menos sete dias após a emissão do certificado e pelo menos sete dias antes que expire.
O algoritmo de chave. Valores de algoritmo de chave válidos são: RSA_2048 e ECDSA_P256.
O pool de ACs. O pool de ACs não existe ou está configurado incorretamente. O pool de ACs precisa conter pelo menos uma AC ativada e a O autor da chamada precisa ter a permissão privateca.capools.use no destino projeto do Google Cloud. No caso dos certificados regionais, a emissão de certificados o recurso de configuração precisa ser criado no mesmo local que o pool de ACs.

Se você receber um erro Failed to create a managed certificate, verifique o seguintes:

O recurso de configuração de emissão de certificado que você especificou ao criar o certificado existe.
O autor da chamada tem a permissão certificatemanager.certissuanceconfigs.use no recurso de configuração de emissão de certificado que você especificou quando criar o certificado.
O certificado está no mesmo local que o recurso de configuração de emissão de certificados.

Se você receber um erro Failed to renew certificate ou Failed to provision certificate, verifique o seguinte:

A conta de serviço do Certificate Manager tem a permissão roles/privateca.certificateRequester no pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.

Use o comando a seguir para verificar as permissões no pool de AC de destino:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Substitua:
- CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destino
- REGION: a região de destino do Google Cloud
Uma emissão de certificado política está na efeito Para mais informações, consulte Problemas relacionados a restrições de política de emissão.

Problemas relacionados a restrições de políticas de emissão

Se o Gerenciador de certificados não oferecer suporte às mudanças em um certificado feitas pela política de emissão de certificados, o provisionamento de certificados vai falhar e o estado do certificado gerenciado vai mudar para Failed. Para resolver o problema, confirme o seguinte:

As restrições de identidade do certificado permitem a transmissão do assunto e do nome alternativo do assunto (SAN, na sigla em inglês).
O ciclo de vida máximo do certificado for maior do que o ciclo de vida da emissão do certificado de configuração do Terraform.

Para os problemas anteriores, como o serviço de CA já emitiu o você será cobrado de acordo com o CA Service preços.

Se você receber o erro Rejected for issuing certificates from the configured CA Pool, isso indica que a política de emissão de certificados bloqueou a certificado solicitado. Para resolver o erro, verifique o seguinte:

O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs, na sigla em inglês).
Os tipos de chave permitidos sejam compatíveis com algoritmo de chave do recurso de configuração de emissão de certificados que está sendo usado.

Para os problemas anteriores, como o serviço de AC não emitiu o certificado, você não recebeu cobranças do serviço de AC.

Problemas relacionados à correspondência do nome do host do IAP

Se você receber a mensagem de erro The host name provided does not match the SSL certificate on the server inesperadamente, ao usar o Gerenciador de certificados com o Identity-Aware Proxy (IAP), verifique se você está usando um certificado válido para esse nome de host. Listar também entradas do mapa de certificados que você configurou no mapa de certificado. Cada nome de host ou nome de host curinga que você pretende usar com o IAP precisa ter uma entrada dedicada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma entrada do mapa de certificado.

As solicitações que usam a entrada do mapa de certificado principal durante a seleção de certificado são sempre rejeitadas pelo IAP.