Solución de problemas del Administrador de certificados

En esta página, se describen los errores más comunes que pueden surgir al usar Administrador de certificados. También proporciona pasos para diagnosticar y resolver esos errores.

Si necesitas ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta Solución de problemas de SSL certificados.

Se produce un error cuando se desconecta un mapa de certificados de un proxy de destino

Cuando desconectas un mapa de certificados de un proxy de destino, recibes el siguiente error:

"There must be at least one certificate configured for a target proxy."

Este error se produce cuando no hay certificados asignados al proxy de destino aparte de los especificados en el mapa de certificados que intentas desconectar. Para desvincular el mapa, primero asigna uno o más certificados directamente al proxy.

Problemas relacionados con los certificados emitidos por una instancia del servicio de CA

En esta sección, se enumeran los errores más comunes que pueden surgir al usar Administrador de certificados para implementar los certificados administrados por Google emitidos por tu instancia de servicio de CA y sus posibles causas.

Si recibes el error Failed to create Certificate Issuance Config resources, haz lo siguiente: comprueba lo siguiente:

  • La vida útil. Los valores válidos de la vida útil del certificado son de 21 a 30 días.
  • El porcentaje de la ventana de rotación. Los porcentajes de ventana de rotación válidos son los siguientes: de 1 a 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
  • El algoritmo de clave Valores válidos del algoritmo de clave son: RSA_2048 y ECDSA_P256.
  • El grupo de AC El grupo de AC no existe o está mal configurado. El grupo de AC debe contener al menos una AC habilitada y el llamador debe tener el permiso privateca.capools.use en el destino proyecto de Google Cloud. En el caso de los certificados regionales, la emisión de certificados el recurso de configuración debe crearse en la misma ubicación que el grupo de AC.

Si recibes un error Failed to create a managed certificate, verifica lo siguiente:

  • El recurso de configuración de emisión de certificados que que se especifica cuando se crea el certificado.
  • El llamador tiene el permiso certificatemanager.certissuanceconfigs.use en el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
  • El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.

Si recibes un error Failed to renew certificate o Failed to provision certificate, verifica lo siguiente:

  • La cuenta de servicio de Certificate Manager tiene el permiso roles/privateca.certificateRequester en el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.

    Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    Reemplaza lo siguiente:

    • CA_POOL: Es la ruta de acceso completa al recurso y el nombre del recurso grupo de AC de destino
    • REGION: La región de Google Cloud de destino
  • Una emisión de certificados política está en efecto. Para obtener más información, consulta Problemas relacionados con la política de emisión restricciones de uso.

Problemas relacionados con las restricciones de la política de emisión

Si el Administrador de certificados no admite los cambios en un certificado emitido por la política de emisión de certificados, el aprovisionamiento de certificados falla y el estado del certificado administrado cambia a Failed. Para resolver el problema, confirma lo siguiente:

  • Las restricciones de identidad del certificado permiten la transferencia de nombres alternativos de sujeto (SAN) y de sujeto.
  • La duración máxima restricción del certificado es mayor que la vida útil de la emisión del certificado de configuración de Terraform.

En el caso de los problemas anteriores, como el servicio de AC ya emitió el certificado, se te factura según los precios del servicio de AC.

Si recibes el error Rejected for issuing certificates from the configured CA Pool, significa que la política de emisión de certificados bloqueó la certificado solicitado. Para resolver el error, verifica lo siguiente:

  • El modo de emisión del certificado permite solicitudes de firma de certificado (CSR).
  • Los tipos de claves permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se usa.

En el caso de los problemas anteriores, como el servicio de AC no emitió el certificado, no se te factura.

Problemas relacionados con la coincidencia de nombres de host de IAP

Si ves el error The host name provided does not match the SSL certificate on the server de forma inesperada cuando usas el Administrador de certificados con Identity-Aware Proxy (IAP), comprueba que estés usando un certificado que esté válido para ese nombre de host. También enumera las entradas del mapa de certificados que configuraste en el mapa de certificados. Cada nombre de host o comodín de host que quieras usar con IAP debe tener una dirección entrada. Si falta la entrada del mapa de certificados de tu nombre de host, crea un entrada de mapa de certificados.

Solicitudes que regresan a la entrada del mapa de certificados principal durante selección de certificados siempre son rechazadas por IAP.