인증서 관리자 문제 해결

이 페이지에서는 인증서 관리자를 사용할 때 발생할 수 있는 가장 일반적인 오류를 설명합니다. 또한 이러한 오류를 진단하고 해결하는 단계도 제공합니다.

TLS(SSL) 인증서와 관련된 문제 해결에 대한 도움말은 SSL 인증서 문제 해결을 참조하세요.

대상 프록시에서 인증서 맵을 분리할 때 오류 발생

대상 프록시에서 인증서 맵을 분리할 때 다음 오류가 발생합니다.

"There must be at least one certificate configured for a target proxy."

이 오류는 분리하려는 인증서 맵에 지정된 인증서 외에 대상 프록시에 할당된 인증서가 없는 경우에 발생합니다. 맵을 분리하려면 먼저 하나 이상의 인증서를 프록시에 직접 할당하세요.

인증서 맵 항목을 인증서와 연결할 때 오류 발생

인증서 맵 항목을 인증서와 연결하면 다음 오류가 발생합니다.

"certificate can't be used more than 100 times"

이 오류는 인증서 맵 항목을 이미 100개의 인증서 맵 항목과 연결된 인증서와 연결하려고 할 때 발생합니다. 문제를 해결하려면 다음을 수행합니다.

  • Google 관리 인증서의 경우 다른 인증서를 만듭니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.
  • 자체 관리형 인증서의 경우 새 이름으로 인증서를 다시 업로드합니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.

CA 서비스 인스턴스에서 발급한 인증서 관련 문제

이 섹션에서는 인증서 관리자를 사용하여 CA 서비스 인스턴스에서 발급한 Google 관리형 인증서를 배포할 때 발생할 수 있는 가장 일반적인 오류와 가능한 원인을 설명합니다.

Failed to create Certificate Issuance Config resources 오류가 발생하면 다음을 확인하세요.

  • 전체 기간. 유효한 인증서 수명 기간 값은 21~30일입니다.
  • 순환 기간 비율. 유효한 순환 기간 비율은 1~99%입니다. 인증서 발급 후 최소 7일이 지나고 만료되기 최소 7일 전에 인증서가 갱신되도록 인증서 수명과 관련하여 순환 기간 비율을 설정해야 합니다.
  • 키 알고리즘. 유효한 키 알고리즘 값은 RSA_2048ECDSA_P256입니다.
  • CA 풀. CA 풀이 없거나 잘못 구성되었습니다. CA 풀에는 사용 설정된 CA가 하나 이상 포함되어야 하며 호출자는 대상 Google Cloud 프로젝트에 대한 privateca.capools.use 권한이 있어야 합니다. 리전 인증서의 경우 CA 풀과 동일한 위치에서 인증서 발급 구성 리소스를 만들어야 합니다.

Failed to create a managed certificate 오류가 발생하면 다음을 확인하세요.

  • 인증서를 만들 때 지정한 인증서 발급 구성 리소스가 있습니다.
  • 호출자가 인증서를 만들 때 지정한 인증서 발급 구성 리소스에 대한 certificatemanager.certissuanceconfigs.use 권한을 갖고 있습니다.
  • 인증서가 인증서 발급 구성 리소스와 동일한 위치에 있습니다.

Failed to renew certificate 또는 Failed to provision certificate 오류가 발생하면 다음을 확인하세요.

  • 인증서 관리자 서비스 계정이 이 인증서에 사용된 인증서 발급 구성 리소스에서 지정된 CA 풀에 대한 roles/privateca.certificateRequester 권한을 갖고 있습니다.

    다음 명령어를 사용하여 대상 CA 풀의 권한을 확인합니다.

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    다음을 바꿉니다.

    • CA_POOL: 대상 CA 풀의 전체 리소스 경로 및 이름입니다.
    • REGION: 대상 Google Cloud 리전입니다.
  • 인증서 발급 정책이 적용됩니다. 자세한 내용은 발급 정책 제한사항 관련 문제를 참조하세요.

발급 정책 제한 관련 문제

인증서 관리자가 인증서 발급 정책으로 발생된 인증서 변경사항을 지원하지 않는 경우 인증서 프로비저닝이 실패하고 관리형 인증서 상태가 Failed로 변경됩니다. 이 문제를 해결하려면 다음을 확인하세요.

  • 인증서의 ID 제약조건이 주체 및 주체 대체 이름(SAN) 패스 스루를 허용합니다.
  • 인증서의 최대 수명 기간 제약조건이 인증서 발급 구성 리소스의 수명 기간보다 큽니다.

앞의 문제의 경우 CA 서비스가 이미 인증서를 발급했으므로 CA 서비스 가격 책정에 따라 요금이 청구됩니다.

Rejected for issuing certificates from the configured CA Pool 오류가 발생하는 경우 이는 인증서 발급 정책이 요청된 인증서를 차단했음을 나타냅니다. 오류를 해결하려면 다음을 확인하세요.

  • 인증서의 발급 모드가 인증서 서명 요청(CSR)을 허용합니다.
  • 허용된 키 유형이 사용 중인 인증서 발급 구성 리소스의 키 알고리즘과 호환됩니다.

앞의 문제의 경우 CA 서비스가 인증서를 발급하지 않았기 때문에 CA 서비스로 요금이 청구되지 않습니다.

IAP 호스트 이름 일치 관련 문제

Identity-Aware Proxy(IAP)와 함께 인증서 관리자를 사용할 때 예기치 않게 The host name provided does not match the SSL certificate on the server 오류가 발생하면 해당 호스트 이름에 유효한 인증서를 사용하고 있는지 확인하세요. 또한 인증서 맵에서 구성한 인증서 맵 항목을 나열합니다. IAP와 함께 사용할 모든 호스트 이름 또는 와일드 카드 호스트 이름에는 전용 항목이 있어야 합니다. 호스트 이름의 인증서 맵 항목이 없으면 인증서 맵 항목을 만듭니다.

인증서 선택 중에 기본 인증서 맵 항목으로 대체되는 요청은 항상 IAP에서 거부됩니다.