Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lors de l'utilisation Gestionnaire de certificats. Il fournit également les étapes à suivre pour diagnostiquer et résoudre ces erreurs.
Problèmes liés aux certificats TLS (SSL)
Pour obtenir de l'aide pour résoudre les problèmes liés aux certificats TLS (SSL), consultez la section Résoudre les problèmes liés aux certificats SSL.
Erreur lors de la dissociation d'une mise en correspondance de certificats d'un proxy cible
Lorsque vous déconnectez un mappage de certificat d'un proxy cible, l'erreur suivante s'affiche :
"There must be at least one certificate configured for a target proxy."
Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible en dehors de ceux spécifiés dans le mappage de certificat que vous essayez de dissocier. Pour dissocier la carte, attribuez d'abord un ou plusieurs certificats directement au proxy.
Problèmes liés aux certificats émis par une instance de service CA
Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lors de l'utilisation Gestionnaire de certificats pour déployer les certificats gérés par Google émis par votre instance CA Service et leurs causes possibles.
Si vous recevez l'erreur Failed to create Certificate Issuance Config resources,
vérifiez les points suivants:
- Durée de vie. Les valeurs de durée de vie du certificat valides sont comprises entre 21 et 30 jours.
- Pourcentage de la fenêtre de rotation. Les pourcentages valides pour la période de rotation sont les suivants : de 1 à 99 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat afin que le renouvellement du certificat se produise au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration.
- L'algorithme de clé. Valeurs valides de l'algorithme de clé
sont:
RSA_2048etECDSA_P256. - Le pool d'autorités de certification. Le pool d'autorités de certification n'existe pas ou est mal configuré.
Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'appelant doit disposer de l'autorisation
privateca.capools.usesur le projet Google Cloud cible. Pour les certificats régionaux, l'émission du certificat ressource de configuration doit être créée au même emplacement que le pool d'autorités de certification.
Si vous recevez une erreur Failed to create a managed certificate, vérifiez le
suivantes:
- La ressource de configuration d'émission de certificats que vous spécifié lors de la création du certificat existe.
- L'appelant dispose de l'autorisation
certificatemanager.certissuanceconfigs.usesur la ressource Configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat. - Le certificat se trouve au même emplacement que le certificat ressource de configuration d'émission.
Si vous recevez une erreur Failed to renew certificate ou Failed to provision
certificate, vérifiez les points suivants :
Le compte de service Certificate Manager dispose de l'autorisation
roles/privateca.certificateRequestersur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.Utilisez la commande suivante pour vérifier les autorisations sur le pool d'autorités de certification cible:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Remplacez les éléments suivants :
CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification cibleREGION: région Google Cloud cible
Une émission de certificat l'effet. Pour en savoir plus, consultez la section Problèmes liés à la stratégie d'émission. restrictions.
Problèmes liés aux restrictions liées aux règles d'émission
Si le Gestionnaire de certificats n'est pas compatible avec les modifications apportées à un certificat par la stratégie d'émission de certificats, le provisionnement de certificats échoue et l'état du certificat géré passe à Failed. Pour résoudre le problème
vérifiez les points suivants:
- Les contraintes d'identité du certificat permettent le transfert de l'objet et de l'autre nom de l'objet (SAN).
- La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration d'émission de certificats.
Pour les problèmes précédents, comme CA Service a déjà émis le certificat, vous êtes facturé selon les tarifs de CA Service.
Si vous recevez l'erreur Rejected for issuing certificates from the configured
CA Pool, cela signifie que la stratégie d'émission de certificats a bloqué le certificat demandé. Pour résoudre l'erreur, vérifiez les points suivants :
- Le mode d'émission du certificat autorise les demandes de signature de certificat (CSR).
- Les types de clés autorisés sont compatibles avec l'algorithme de clé de la ressource de configuration d'émission de certificats utilisée.
Pour les problèmes précédents, comme le service d'autorité de certification n'a pas émis le certificat, vous ne serez pas facturé par ce service.
Problèmes liés à la correspondance des noms d'hôte IAP
Si vous obtenez de manière inattendue l'erreur The host name provided does not match the
SSL certificate on the server lorsque vous utilisez le Gestionnaire de certificats avec
Identity-Aware Proxy (IAP), vérifiez que vous utilisez un certificat
valide pour ce nom d'hôte. Répertorier également les entrées de mappage de certificats
que vous avez configuré dans votre mappage de certificats. Chaque nom d'hôte ou nom d'hôte générique que vous prévoyez d'utiliser avec l'IAP doit disposer d'une entrée dédiée. Si l'entrée de mappage de certificat pour votre nom d'hôte est manquante, créez un
entrée de mappage de certificat.
Les requêtes qui reviennent à l'entrée de mappage de certificat principale lors de la sélection de certificat sont toujours refusées par l'IAP.