Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.
Problemas relacionados aos certificados TLS (SSL)
Para receber ajuda na resolução de problemas relacionados aos certificados TLS (SSL), consulte Como solucionar problemas de SSL do Google Cloud.
Erro ao desconectar um mapa de certificado de um proxy de destino
Quando desanexar um mapa de certificado de um proxy de destino, será exibido o seguinte erro:
"There must be at least one certificate configured for a target proxy."
Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificado que você está tentando desconectar. Para desconectar o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.
Problemas relacionados a certificados emitidos por uma instância de serviço de AC
Esta seção lista os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância do serviço de AC e as possíveis causas deles.
Se você receber o erro Failed to create Certificate Issuance Config resources
,
verifique o seguinte:
- O ciclo de vida. Ciclo de vida do certificado válido valores são de 21 a 30 dias.
- A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99 por cento. Você deve definir a porcentagem da janela de rotação em em relação ao ciclo de vida do certificado, para que a renovação ocorra em pelo menos sete dias após a emissão do certificado e pelo menos sete dias antes que expire.
- O algoritmo de chave. Valores de algoritmo de chave válidos
são:
RSA_2048
eECDSA_P256
. - O pool de ACs. O pool de ACs não existe ou está configurado incorretamente.
O pool de ACs precisa conter pelo menos uma AC ativada e a
O autor da chamada precisa ter a permissão
privateca.capools.use
no destino projeto do Google Cloud. No caso dos certificados regionais, a emissão de certificados o recurso de configuração precisa ser criado no mesmo local que o pool de ACs.
Se você receber um erro Failed to create a managed certificate
, verifique o
seguintes:
- O recurso de configuração de emissão de certificado que você especificou ao criar o certificado existe.
- O autor da chamada tem a permissão
certificatemanager.certissuanceconfigs.use
no recurso de configuração de emissão de certificado que você especificou quando criar o certificado. - O certificado está no mesmo local que o recurso de configuração de emissão de certificados.
Se você receber um erro Failed to renew certificate
ou Failed to provision
certificate
, verifique o seguinte:
A conta de serviço do Certificate Manager tem a permissão
roles/privateca.certificateRequester
no pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.Use o comando a seguir para verificar as permissões no pool de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Substitua:
CA_POOL
: o caminho completo do recurso e o nome do pool de ACs de destinoREGION
: a região de destino do Google Cloud
Uma emissão de certificado política está na efeito Para mais informações, consulte Problemas relacionados a restrições de política de emissão.
Problemas relacionados a restrições de políticas de emissão
Se o Gerenciador de certificados não oferecer suporte às mudanças em um
certificado feitas pela política de emissão de certificados, o provisionamento de certificados
vai falhar e o estado do certificado gerenciado vai mudar para Failed
. Para resolver
o problema, confirme o seguinte:
- As restrições de identidade do certificado permitem a transmissão do assunto e do nome alternativo do assunto (SAN, na sigla em inglês).
- O ciclo de vida máximo do certificado for maior do que o ciclo de vida da emissão do certificado de configuração do Terraform.
Para os problemas anteriores, como o serviço de CA já emitiu o você será cobrado de acordo com o CA Service preços.
Se você receber o erro Rejected for issuing certificates from the configured
CA Pool
, isso indica que a política de emissão de certificados bloqueou a
certificado solicitado. Para resolver o erro, verifique o seguinte:
- O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs, na sigla em inglês).
- Os tipos de chave permitidos sejam compatíveis com algoritmo de chave do recurso de configuração de emissão de certificados que está sendo usado.
Para os problemas anteriores, como o serviço de AC não emitiu o certificado, você não recebeu cobranças do serviço de AC.
Problemas relacionados à correspondência do nome do host do IAP
Se você receber a mensagem de erro The host name provided does not match the
SSL certificate on the server
inesperadamente, ao usar o Gerenciador de certificados com o
Identity-Aware Proxy (IAP), verifique se você está usando um certificado
válido para esse nome de host. Listar também entradas do mapa de certificados
que você configurou no mapa de certificado. Cada nome de host ou nome de host curinga
que você pretende usar com o IAP precisa ter uma entrada
dedicada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma
entrada do mapa de certificado.
As solicitações que usam a entrada do mapa de certificado principal durante a seleção de certificado são sempre rejeitadas pelo IAP.