Certificate Manager のトラブルシューティング

このページでは、Certificate Manager の使用時に発生する可能性のある最も一般的なエラーについて説明します。また、これらのエラーを診断して解決する手順も示します。

TLS（SSL）証明書に関連する問題

TLS（SSL）証明書に関連する問題の解決方法については、SSL 証明書のトラブルシューティングをご覧ください。

"There must be at least one certificate configured for a target proxy."

このエラーは、切断する証明書マップで指定された証明書以外のターゲットプロキシに割り当てられた証明書がない場合に発生します。マップを切断するには、まず 1 つ以上の証明書をプロキシに直接割り当てます。

このセクションでは、Certificate Manager を使用して CA Service インスタンスによって発行された Google マネージド証明書をデプロイするときに発生する可能性がある最も一般的なエラーと、それらの考えられる原因について説明します。

Failed to create Certificate Issuance Config resources エラーが表示された場合は、次の点を確認してください。

存続期間。証明書の有効な存続時間の値は 21 ～ 30 日間です。
ローテーションウィンドウの割合。有効なローテーションウィンドウの割合は 1 ～ 99% です。証明書の更新が、証明書の発行の 7 日以上後、期限切れの 7 日以上前に行われるように、証明書の有効期間を基準にしてローテーションウィンドウの割合を設定する必要があります。
鍵アルゴリズム。有効な鍵アルゴリズムの値は RSA_2048 と ECDSA_P256 です。
CA プール。CA プールが存在しないか、正しく構成されていません。 CA プールには、有効な CA が 1 つ以上含まれている必要があり、呼び出し元には、ターゲット Google Cloud プロジェクトに対する privateca.capools.use 権限が必要です。リージョン証明書の場合、証明書発行の構成リソースは CA プールと同じロケーションに作成する必要があります。

Failed to create a managed certificate エラーが表示された場合は、次の点を確認してください。

証明書の作成時に指定した証明書発行の構成リソースが存在している。
呼び出し元に、証明書の作成時に指定した証明書発行の構成リソースに対する certificatemanager.certissuanceconfigs.use 権限がある。
証明書は証明書発行の構成リソースと同じロケーションにあります。

Failed to renew certificate エラーまたは Failed to provision certificate エラーが発生した場合は、次の点を確認してください。

Certificate Manager が、証明書発行ポリシーによって作成された証明書への変更をサポートしていない場合、証明書のプロビジョニングは失敗し、マネージド証明書の状態は Failed に変わります。この問題を解決するには、以下のことを確認します。

前述の問題では、CA Service がすでに証明書を発行しているため、CA Service の料金に従って課金されます。

エラー Rejected for issuing certificates from the configured CA Pool が表示された場合、要求された証明書が証明書発行ポリシーによってブロックされていることを示しています。このエラーを解決するには、次の点を確認してください。

前述の問題では、CA Service が証明書を発行していないため、CA Service から課金されません。