此页面由 Cloud Translation API 翻译。

证书管理工具问题排查

本页介绍了您在使用证书管理器时可能会遇到的最常见错误。它还提供了诊断和解决这些错误的步骤。

与 TLS (SSL) 证书相关的问题

如需有关解决与 TLS (SSL) 证书相关问题的帮助，请参阅对 SSL 证书进行问题排查。

从目标代理分离证书映射时出错

从目标代理分离证书映射时，您收到以下错误：

"There must be at least one certificate configured for a target proxy."

如果除了您尝试分离的证书映射中指定的证书之外，目标代理没有分配任何证书，就会发生此错误。如需分离映射，请先直接将一个或多个证书分配给代理。

将证书映射条目与证书相关联时出错

将证书映射条目与证书相关联时，您收到以下错误：

"certificate can't be used more than 100 times"

如果您尝试将证书映射条目与已与 100 个证书映射条目相关联的证书相关联，就会出现此错误。如需解决此问题，请执行以下操作：

对于 Google 管理的证书，请创建另一个证书。将新的证书映射条目与此新证书相关联，并将新证书附加到负载平衡器。
对于自行管理的证书，请使用新名称重新上传证书。将新的证书映射条目与此新证书相关联，并将新证书附加到负载平衡器。

与 CA Service 实例颁发的证书相关的问题

本部分列出了您在使用 Certificate Manager 部署 CA Service 实例颁发的 Google 管理的证书时可能遇到的最常见错误及其可能的原因。

如果您收到 Failed to create Certificate Issuance Config resources 错误，请检查以下各项：

生命周期。有效的证书有效期值介于 21 天到 30 天之间。
轮替窗口百分比。有效的轮替窗口百分比范围为 1 到 99%。您必须设置相对于证书生命周期的轮替窗口百分比，以确保证书在证书颁发至少 7 天之后且在到期前至少提前 7 天进行续订。
密钥算法。有效的密钥算法值为：RSA_2048 和 ECDSA_P256。
CA 池。CA 池不存在或配置错误。CA 池中必须至少包含一个已启用的 CA，并且调用方必须对目标 Google Cloud 项目拥有 privateca.capools.use 权限。对于区域证书，证书颁发配置资源必须在 CA 池所在的位置创建。

如果您收到 Failed to create a managed certificate 错误，请检查以下各项：

您在创建证书时指定的证书颁发配置资源存在。
调用方对您在创建证书时指定的证书颁发配置资源拥有 certificatemanager.certissuanceconfigs.use 权限。
证书与证书颁发配置资源位于同一位置。

如果您收到 Failed to renew certificate 或 Failed to provision certificate 错误，请检查以下各项：

Certificate Manager 服务账号对用于此证书的证书颁发配置资源中指定的 CA 池具有 roles/privateca.certificateRequester 权限。

使用以下命令检查对目标 CA 池的权限：
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
替换以下内容：
- CA_POOL：目标 CA 池的完整资源路径和名称
- REGION：目标 Google Cloud 区域
证书颁发政策生效。如需了解详情，请参阅与发行政策限制相关的问题。

与发行政策限制相关的问题

如果证书管理器不支持证书颁发政策对证书所做的更改，证书配置将失败，并且受管理证书的状态会更改为 Failed。如需解决此问题，请确认以下各项：

证书的身份限制允许传递主题和主题备用名称 (SAN)。
证书的最长有效期约束条件大于证书颁发配置资源的有效期。

对于之前的问题，由于 CA Service 已颁发证书，因此系统会根据 CA Service 定价向您收费。

如果您收到错误 Rejected for issuing certificates from the configured CA Pool，则表示证书颁发政策已屏蔽请求的证书。如需解决此错误，请检查以下各项：

证书的颁发模式允许证书签名请求 (CSR)。
允许的密钥类型与所用证书颁发配置资源的密钥算法兼容。

对于之前的问题，由于 CA Service 尚未签发证书，因此您无需向 CA Service 支付费用。

与 IAP 主机名匹配相关的问题

如果您在将证书管理器与 Identity-Aware Proxy (IAP) 搭配使用时意外收到 The host name provided does not match the SSL certificate on the server 错误，请检查您使用的证书是否适用于该主机名。此外，还会列出您在证书映射中配置的证书映射条目。您打算与 IAP 搭配使用的每个主机名或通配主机名都必须有专门的条目。如果主机名的证书映射条目缺失，请创建证书映射条目。

在证书选择期间回退到主要证书映射条目的请求始终会被 IAP 拒绝。