本页面介绍了您在使用 Certificate Manager 时可能会遇到的最常见错误。还介绍了诊断和解决这些错误的步骤。
与 TLS (SSL) 证书相关的问题
如需有关解决与 TLS (SSL) 证书相关的问题的帮助,请参阅排查 SSL 证书问题。
从目标代理分离证书映射时出错
从目标代理分离证书映射时,您会收到以下错误:
"There must be at least one certificate configured for a target proxy."
除了您尝试分离的证书映射中指定的证书之外,如果未向目标代理分配任何证书,就会出现此错误。如需分离该映射,请先直接将一个或多个证书分配给代理。
与 CA Service 实例颁发的证书相关的问题
本部分介绍在使用 Certificate Manager 部署由 CA Service 实例颁发的 Google 管理的证书时可能会遇到的最常见错误及可能的原因。
如果您收到 Failed to create Certificate Issuance Config resources
错误,请检查以下内容:
- 生命周期。有效证书生命周期值为 21 到 30 天。
- 轮播窗口百分比。有效轮替窗口百分比的范围为 1% 至 99%。您必须设置与证书生命周期相关的轮替窗口百分比,以便在证书颁发后至少 7 天以及到期前至少 7 天续订证书。
- 密钥算法。有效的密钥算法值为
RSA_2048
和ECDSA_P256
。 - CA 池。CA 池不存在或配置错误。CA 池必须包含至少一个已启用的 CA,并且调用方必须具有目标 Google Cloud 项目的
privateca.capools.use
权限。对于区域级证书,必须在 CA 池所在的位置创建证书颁发配置资源。
如果您收到 Failed to create a managed certificate
错误,请检查以下各项:
- 您在创建证书时指定的证书颁发配置资源已存在。
- 调用方对您创建证书时指定的证书颁发配置资源拥有
certificatemanager.certissuanceconfigs.use
权限。 - 该证书与证书颁发配置资源位于同一位置。
如果您收到 Failed to renew certificate
或 Failed to provision
certificate
错误,请检查以下各项:
Certificate Manager 服务帐号对用于此证书的证书颁发配置资源中指定的 CA 池具有
roles/privateca.certificateRequester
权限。使用以下命令检查针对目标 CA 池的权限:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
替换以下内容:
CA_POOL
:目标 CA 池的完整资源路径和名称REGION
:目标 Google Cloud 区域
证书颁发政策已生效。如需了解详情,请参阅与颁发政策限制相关的问题。
与签发政策限制相关的问题
如果证书管理器不支持对证书颁发政策做出的证书更改,则证书预配将失败,并且代管式证书的状态会更改为 Failed
。如需解决此问题,请确认以下内容:
对于之前的问题,由于 CA 服务已颁发证书,因此您需要根据 CA 服务价格付费。
如果您收到 Rejected for issuing certificates from the configured
CA Pool
错误,这表示证书颁发政策阻止了请求的证书。如需解决该错误,请检查以下各项:
对于上述问题,由于 CA Service 未颁发证书,因此 CA Service 不会向您收取费用。