本页面介绍了使用 Google 文档时最常遇到的错误, Certificate Manager。它还提供了诊断和解决这些错误的步骤。
与 TLS (SSL) 证书相关的问题
如需有关解决与 TLS (SSL) 证书相关问题的帮助,请参阅排查 SSL 证书问题。
从目标代理分离证书映射时出错
从目标代理分离证书映射时,您收到以下错误:
"There must be at least one certificate configured for a target proxy."
如果未向目标代理分配任何证书,就会出现此错误 除了您尝试分离的证书映射中指定的证书以外。 如需分离映射,请先直接将一个或多个证书分配给代理。
与 CA Service 实例颁发的证书相关的问题
本部分列出了您在使用 Certificate Manager 部署 CA Service 实例颁发的 Google 管理的证书时可能遇到的最常见错误及其可能的原因。
如果您收到 Failed to create Certificate Issuance Config resources 错误,请检查以下各项:
- 生命周期。有效证书生命周期 值介于 21 到 30 天之间。
- 轮替窗口百分比。有效的轮替窗口百分比范围为 1 到 99%。您必须设置轮播窗口百分比 与证书生命周期相关联,以便在 证书颁发后至少 7 天到 7 天 。
- 密钥算法。有效的密钥算法值
分别为:
RSA_2048和ECDSA_P256。 - CA 池。CA 池不存在或配置错误。CA 池中必须包含至少一个已启用的 CA,并且调用方必须对目标 Google Cloud 项目拥有
privateca.capools.use权限。对于区域级证书 必须在与 CA 池相同的位置创建配置资源。
如果您收到 Failed to create a managed certificate 错误,请检查
以下:
- 您要创建的证书颁发配置资源 在创建证书时指定。
- 调用方对您在创建证书时指定的证书颁发配置资源拥有
certificatemanager.certissuanceconfigs.use权限。 - 证书与证书颁发配置资源位于同一位置。
如果您收到 Failed to renew certificate 或 Failed to provision
certificate 错误,请检查以下内容:
Certificate Manager 服务账号对用于此证书的证书颁发配置资源中指定的 CA 池具有
roles/privateca.certificateRequester权限。使用以下命令检查对目标 CA 池的权限:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
替换以下内容:
CA_POOL:目标 CA 池的完整资源路径和名称REGION:目标 Google Cloud 区域
证书颁发政策生效。如需了解详情,请参阅与发行政策限制相关的问题。
与发行政策限制相关的问题
如果证书管理器不支持证书签发政策对证书所做的更改,证书配置将失败,并且受管理证书的状态会更改为 Failed。要解决
请确认以下内容:
对于上述问题,由于 CA Service 已发出 我们将根据 CA 服务向您收取费用 价格。
如果您收到 Rejected for issuing certificates from the configured
CA Pool 错误,则表示证书颁发政策阻止了
请求的证书。如需解决该错误,请检查以下各项:
对于上述问题,由于 CA Service 尚未发出 您不需要由 CA Service 结算。
与 IAP 主机名匹配相关的问题
如果您在将证书管理器与 Identity-Aware Proxy (IAP) 搭配使用时意外收到 The host name provided does not match the
SSL certificate on the server 错误,请检查您使用的证书是否对该主机名有效。此外,还会列出您在证书映射中配置的证书映射条目。您打算与 IAP 搭配使用的每个主机名或通配主机名都必须有专门的条目。如果主机名的证书映射条目缺失,请创建证书映射条目。
在证书选择期间回退到主要证书映射条目的请求始终会被 IAP 拒绝。