Como solucionar problemas do Gerenciador de certificados

Nesta página, descrevemos os erros mais comuns que podem ser encontrados ao usar o Gerenciador de certificados. Ela também mostra as etapas para diagnosticar e resolver esses erros.

Se precisar de ajuda para resolver problemas relacionados a certificados TLS (SSL), consulte Solução de problemas de certificados SSL.

Erro ao desanexar um mapa de certificado de um proxy de destino

Ao desanexar um mapa de certificado de um proxy de destino, você recebe o seguinte erro:

"There must be at least one certificate configured for a target proxy."

Esse erro ocorre quando não há certificados atribuídos ao proxy de destino além daqueles especificados no mapa de certificados que você está tentando remover. Para remover o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.

Problemas relacionados a certificados emitidos por uma instância de serviço de AC

Nesta seção, listamos os erros mais comuns que podem ser encontrados ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância de serviço de CA e as possíveis causas deles.

Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:

  • Todo o ciclo de vida. Os valores de vida útil do certificado válidos vão de 21 a 30 dias.
  • A porcentagem da janela de rotação. As porcentagens válidas da janela de rotação vão de 1 a 99%. Defina a porcentagem da janela de rotação em relação à vida útil do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes de expirar.
  • O algoritmo de chave. Os valores de algoritmo de chave válidos são: RSA_2048 e ECDSA_P256.
  • O pool de ACs. O pool de ACs não existe ou está configurado incorretamente. O pool de ACs precisa conter pelo menos uma AC ativada e o autor da chamada precisa ter a permissão privateca.capools.use no projeto de destino do Google Cloud. Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local que o pool de ACs.

Se você receber um erro Failed to create a managed certificate, verifique o seguinte:

  • O recurso de configuração de emissão de certificados que você especificou ao criar o certificado existe.
  • O autor da chamada tem a permissão certificatemanager.certissuanceconfigs.use no recurso de configuração de emissão de certificado que você especificou ao criar o certificado.
  • O certificado está no mesmo local que o recurso de configuração de emissão de certificado.

Se você receber um erro Failed to renew certificate ou Failed to provision certificate, verifique o seguinte:

  • A conta de serviço do Gerenciador de certificados tem a permissão roles/privateca.certificateRequester no pool de CAs especificado no recurso de configuração de emissão de certificados usado para esse certificado.

    Use o seguinte comando para verificar as permissões no pool de ACs de destino:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    Substitua:

    • CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destino.
    • REGION: a região de destino do Google Cloud.

  • Uma política de emissão de certificados está em vigor. Para mais informações, consulte Problemas relacionados a restrições da política de emissão.

Problemas relacionados a restrições da política de emissão

Se o Gerenciador de certificados não oferecer suporte às alterações em um certificado feitas pela política de emissão de certificados, o provisionamento dele falhará e o estado do certificado gerenciado será alterado para Failed. Para resolver o problema, confirme o seguinte:

  • As restrições de identidade do certificado permitem a passagem do assunto e do nome alternativo do assunto (SAN, na sigla em inglês).
  • A restrição de ciclo de vida máximo do certificado é maior que o ciclo de vida do recurso de configuração de emissão de certificados.

Nas edições anteriores, como o CA Service já emitiu o certificado, você será cobrado de acordo com os preços do serviço de CA.

Se você receber o erro Rejected for issuing certificates from the configured CA Pool, isso indica que a política de emissão de certificados bloqueou o certificado solicitado. Para resolver o erro, verifique o seguinte:

  • O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs, na sigla em inglês).
  • Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração para emissão de certificados que está sendo usado.

Quanto aos problemas anteriores, como o CA Service não emitiu o certificado, você não será cobrado pelo serviço de CA.