En esta página, se describen los errores más comunes que puedes encontrar cuando utilizas el Administrador de certificados. También se proporcionan pasos para diagnosticar y resolver esos errores.
Problemas relacionados con los certificados TLS (SSL)
Si quieres obtener ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas relacionados con los certificados SSL.
Se produjo un error cuando se desconectaba un mapa de certificados de un proxy de destino
Cuando desvinculas un mapa de certificados de un proxy de destino, recibes el siguiente error:
"There must be at least one certificate configured for a target proxy."
Este error se produce cuando no hay certificados asignados al proxy de destino además de los especificados en el mapa de certificados que intentas desconectar. Para desvincular el mapa, primero asigna uno o más certificados directamente al proxy.
Problemas relacionados con los certificados emitidos por una instancia de CA Service
En esta sección, se enumeran los errores más comunes que puedes encontrar cuando usas el Administrador de certificados para implementar certificados administrados por Google emitidos por tu instancia de CA Service y sus posibles causas.
Si recibes el error Failed to create Certificate Issuance Config resources, verifica lo siguiente:
- Desde el principio. Los valores válidos del ciclo de vida del certificado abarcan entre 21 y 30 días.
- El porcentaje del período de rotación. Los porcentajes válidos del período de rotación van del 1 al 99%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de que venza.
- El algoritmo de la clave. Los valores válidos del algoritmo de la clave son:
RSA_2048yECDSA_P256. - El grupo de AC. El grupo de AC no existe o está mal configurado.
El grupo de AC debe contener al menos una AC habilitada y el llamador debe tener el permiso
privateca.capools.useen el proyecto de Google Cloud de destino. Para los certificados regionales, el recurso de configuración de emisión de certificados debe crearse en la misma ubicación que el grupo de AC.
Si recibes un error Failed to create a managed certificate, verifica lo siguiente:
- Existe el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
- El llamador tiene el permiso
certificatemanager.certissuanceconfigs.useen el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado. - El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.
Si recibes un error Failed to renew certificate o Failed to provision
certificate, verifica lo siguiente:
La cuenta de servicio del Administrador de certificados tiene el permiso
roles/privateca.certificateRequesteren el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Reemplaza lo siguiente:
CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC de destino.REGION: Es la región de Google Cloud de destino.
Hay una política de emisión de certificados vigente. Para obtener más información, consulta Problemas relacionados con las restricciones de las políticas de emisión.
Problemas relacionados con las restricciones de la política de emisión
Si el Administrador de certificados no admite los cambios en un certificado que realiza la política de emisión de certificados, el aprovisionamiento de certificados fallará y el estado del certificado administrado cambiará a Failed. Para resolver el problema, confirma lo siguiente:
- Las restricciones de identidad del certificado permiten transferir el asunto y el nombre alternativo del asunto (SAN).
- La restricción de duración máxima del certificado es mayor que la vida útil del recurso de configuración de emisión de certificados.
En el caso de los problemas anteriores, debido a que el Servicio de CA ya emitió el certificado, se te facturará según los precios del Servicio de CA.
Si recibes el error Rejected for issuing certificates from the configured
CA Pool, significa que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:
- El modo de emisión del certificado permite las solicitudes de firma de certificados (CSR).
- Los tipos de claves permitidos son compatibles con el algoritmo de claves del recurso de configuración de emisión de certificados que se usa.
En el caso de los problemas anteriores, debido a que el Servicio de CA no emitió el certificado, este servicio no te facturará.