En esta página, se describen los errores más comunes que pueden surgir al usar Administrador de certificados. También proporciona pasos para diagnosticar y resolver esos errores.
Problemas relacionados con los certificados TLS (SSL)
Si necesitas ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta Solución de problemas de SSL certificados.
Se produce un error cuando se desconecta un mapa de certificados de un proxy de destino
Cuando desconectas un mapa de certificados de un proxy de destino, recibes el siguiente error:
"There must be at least one certificate configured for a target proxy."
Este error se produce cuando no hay certificados asignados al proxy de destino aparte de los especificados en el mapa de certificados que intentas desconectar. Para desvincular el mapa, primero asigna uno o más certificados directamente al proxy.
Problemas relacionados con los certificados emitidos por una instancia del servicio de CA
En esta sección, se enumeran los errores más comunes que pueden surgir al usar Administrador de certificados para implementar los certificados administrados por Google emitidos por tu instancia de servicio de CA y sus posibles causas.
Si recibes el error Failed to create Certificate Issuance Config resources
, haz lo siguiente:
comprueba lo siguiente:
- La vida útil. Los valores válidos de la vida útil del certificado son de 21 a 30 días.
- El porcentaje de la ventana de rotación. Los porcentajes de ventana de rotación válidos son los siguientes: de 1 a 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
- El algoritmo de clave Valores válidos del algoritmo de clave
son:
RSA_2048
yECDSA_P256
. - El grupo de AC El grupo de AC no existe o está mal configurado.
El grupo de AC debe contener al menos una AC habilitada y
el llamador debe tener el permiso
privateca.capools.use
en el destino proyecto de Google Cloud. En el caso de los certificados regionales, la emisión de certificados el recurso de configuración debe crearse en la misma ubicación que el grupo de AC.
Si recibes un error Failed to create a managed certificate
, verifica lo siguiente:
- El recurso de configuración de emisión de certificados que que se especifica cuando se crea el certificado.
- El llamador tiene el permiso
certificatemanager.certissuanceconfigs.use
en el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado. - El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.
Si recibes un error Failed to renew certificate
o Failed to provision
certificate
, verifica lo siguiente:
La cuenta de servicio de Certificate Manager tiene el permiso
roles/privateca.certificateRequester
en el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Reemplaza lo siguiente:
CA_POOL
: Es la ruta de acceso completa al recurso y el nombre del recurso grupo de AC de destinoREGION
: La región de Google Cloud de destino
Una emisión de certificados política está en efecto. Para obtener más información, consulta Problemas relacionados con la política de emisión restricciones de uso.
Problemas relacionados con las restricciones de la política de emisión
Si el Administrador de certificados no admite los cambios en un
certificado emitido por la política de emisión de certificados, el aprovisionamiento de certificados
falla y el estado del certificado administrado cambia a Failed
. Para resolver
el problema, confirma lo siguiente:
- Las restricciones de identidad del certificado permiten la transferencia de nombres alternativos de sujeto (SAN) y de sujeto.
- La duración máxima restricción del certificado es mayor que la vida útil de la emisión del certificado de configuración de Terraform.
En el caso de los problemas anteriores, como el servicio de AC ya emitió el certificado, se te factura según los precios del servicio de AC.
Si recibes el error Rejected for issuing certificates from the configured
CA Pool
, significa que la política de emisión de certificados bloqueó la
certificado solicitado. Para resolver el error, verifica lo siguiente:
- El modo de emisión del certificado permite solicitudes de firma de certificado (CSR).
- Los tipos de claves permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se usa.
En el caso de los problemas anteriores, como el servicio de AC no emitió el certificado, no se te factura.
Problemas relacionados con la coincidencia de nombres de host de IAP
Si ves el error The host name provided does not match the
SSL certificate on the server
de forma inesperada cuando usas el Administrador de certificados con
Identity-Aware Proxy (IAP), comprueba que estés usando un certificado que esté
válido para ese nombre de host. También enumera las entradas del mapa de certificados
que configuraste en el mapa de certificados. Cada nombre de host o comodín
de host que quieras usar con IAP debe tener una dirección
entrada. Si falta la entrada del mapa de certificados de tu nombre de host, crea un
entrada de mapa de certificados.
Solicitudes que regresan a la entrada del mapa de certificados principal durante selección de certificados siempre son rechazadas por IAP.