이 페이지에서는 인증서 관리자를 사용할 때 발생할 수 있는 가장 일반적인 오류에 대해 설명합니다. 또한 이러한 오류를 진단하고 해결하는 단계도 제공합니다.
TLS(SSL) 인증서와 관련된 문제
TLS(SSL) 인증서와 관련된 문제 해결에 대한 도움말은 SSL 인증서 문제 해결을 참조하세요.
대상 프록시에서 인증서 맵을 분리할 때 오류 발생
대상 프록시에서 인증서 맵을 분리할 때 다음 오류가 발생합니다.
"There must be at least one certificate configured for a target proxy."
이 오류는 분리하려는 인증서 맵에 지정된 인증서 외에 대상 프록시에 할당된 인증서가 없는 경우에 발생합니다. 맵을 분리하려면 먼저 하나 이상의 인증서를 프록시에 직접 할당하세요.
CA 서비스 인스턴스에서 발급한 인증서 관련 문제
이 섹션에서는 인증서 관리자를 사용하여 CA 서비스 인스턴스에서 발급한 Google 관리형 인증서를 배포할 때 발생할 수 있는 가장 일반적인 오류와 가능한 원인을 설명합니다.
Failed to create Certificate Issuance Config resources 오류가 발생하면 다음을 확인하세요.
- 전체 기간. 유효한 인증서 수명 기간 값은 21~30일입니다.
- 순환 기간 비율. 유효한 순환 기간 비율은 1~99%입니다. 인증서 발급 후 최소 7일이 지나고 만료되기 최소 7일 전에 인증서가 갱신되도록 인증서 수명과 관련하여 순환 기간 비율을 설정해야 합니다.
- 키 알고리즘. 유효한 키 알고리즘 값은
RSA_2048및ECDSA_P256입니다. - CA 풀. CA 풀이 없거나 잘못 구성되었습니다.
CA 풀에는 사용 설정된 CA가 하나 이상 포함되어야 하며 호출자는 대상 Google Cloud 프로젝트에 대한
privateca.capools.use권한이 있어야 합니다. 리전 인증서의 경우 CA 풀과 동일한 위치에서 인증서 발급 구성 리소스를 만들어야 합니다.
Failed to create a managed certificate 오류가 발생하면 다음을 확인하세요.
- 인증서를 만들 때 지정한 인증서 발급 구성 리소스가 있습니다.
- 호출자가 인증서를 만들 때 지정한 인증서 발급 구성 리소스에 대한
certificatemanager.certissuanceconfigs.use권한을 갖고 있습니다. - 인증서가 인증서 발급 구성 리소스와 동일한 위치에 있습니다.
Failed to renew certificate 또는 Failed to provision
certificate 오류가 발생하면 다음을 확인하세요.
인증서 관리자 서비스 계정이 이 인증서에 사용된 인증서 발급 구성 리소스에서 지정된 CA 풀에 대한
roles/privateca.certificateRequester권한을 갖고 있습니다.다음 명령어를 사용하여 대상 CA 풀의 권한을 확인합니다.
gcloud privateca pools get-iam-policy CA_POOL --location REGION
다음을 바꿉니다.
CA_POOL: 대상 CA 풀의 전체 리소스 경로 및 이름입니다.REGION: 대상 Google Cloud 리전입니다.
인증서 발급 정책이 적용됩니다. 자세한 내용은 발급 정책 제한사항 관련 문제를 참조하세요.
발급 정책 제한 관련 문제
인증서 관리자가 인증서 발급 정책으로 발생된 인증서 변경사항을 지원하지 않는 경우 인증서 프로비저닝이 실패하고 관리형 인증서 상태가 Failed로 변경됩니다. 이 문제를 해결하려면 다음을 확인하세요.
앞의 문제의 경우 CA 서비스가 이미 인증서를 발급했으므로 CA 서비스 가격 책정에 따라 요금이 청구됩니다.
Rejected for issuing certificates from the configured
CA Pool 오류가 발생하는 경우 이는 인증서 발급 정책이 요청된 인증서를 차단했음을 나타냅니다. 오류를 해결하려면 다음을 확인하세요.
앞의 문제의 경우 CA 서비스가 인증서를 발급하지 않았기 때문에 CA 서비스로 요금이 청구되지 않습니다.