Risoluzione dei problemi di Gestore certificati

In questa pagina vengono descritti gli errori più comuni che potresti riscontrare quando utilizzi Gestore certificati. oltre a fornire le procedure per diagnosticare e risolvere questi errori.

Per assistenza nella risoluzione dei problemi relativi ai certificati TLS (SSL), consulta Risoluzione dei problemi relativi ai certificati SSL.

Errore durante lo scollegamento di una mappa di certificati da un proxy di destinazione

Quando scollega una mappa di certificati da un proxy di destinazione, viene visualizzato il seguente errore:

"There must be at least one certificate configured for a target proxy."

Questo errore si verifica quando non esistono certificati assegnati al proxy di destinazione oltre a quelli specificati nella mappa di certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.

Problemi relativi ai certificati emessi da un'istanza del servizio CA

Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Certificate Manager per eseguire il deployment di certificati gestiti da Google emessi dalla tua istanza CA Service e le possibili cause.

Se ricevi l'errore Failed to create Certificate Issuance Config resources, verifica quanto segue:

  • Per tutta la durata. I valori di durata dei certificati validi sono compresi tra 21 e 30 giorni.
  • La percentuale della finestra di rotazione. Le percentuali valide delle finestre di rotazione sono comprese tra 1 e 99%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo avvenga almeno sette giorni dopo l'emissione e almeno sette giorni prima della scadenza.
  • L'algoritmo chiave. I valori validi dell'algoritmo chiave sono: RSA_2048 e ECDSA_P256.
  • Il pool di CA. Il pool di CA non esiste o non è configurato correttamente. Il pool di CA deve contenere almeno una CA abilitata e il chiamante deve disporre dell'autorizzazione privateca.capools.use nel progetto Google Cloud di destinazione. Per i certificati a livello di regione, la risorsa di configurazione di emissione dei certificati deve essere creata nella stessa località del pool di CA.

Se ricevi un errore Failed to create a managed certificate, controlla quanto segue:

  • Esiste la risorsa di configurazione di emissione del certificato che hai specificato durante la creazione del certificato.
  • Il chiamante dispone dell'autorizzazione certificatemanager.certissuanceconfigs.use per la risorsa di configurazione di emissione del certificato che hai specificato durante la creazione del certificato.
  • Il certificato si trova nella stessa località della risorsa di configurazione di emissione.

Se ricevi un errore Failed to renew certificate o Failed to provision certificate, controlla quanto segue:

  • L'account di servizio Gestore certificati dispone dell'autorizzazione roles/privateca.certificateRequester per il pool di CA specificato nella risorsa di configurazione dell'emissione del certificato utilizzata per questo certificato.

    Utilizza il seguente comando per controllare le autorizzazioni nel pool di CA di destinazione:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    Sostituisci quanto segue:

    • CA_POOL: il percorso e il nome completi della risorsa del pool di CA di destinazione
    • REGION: la regione Google Cloud di destinazione

  • È in vigore un criterio di emissione del certificato. Per ulteriori informazioni, consulta Problemi relativi alle restrizioni relative alle norme di emissione.

Problemi relativi alle limitazioni previste dalle norme di emissione

Se Gestore certificati non supporta le modifiche a un certificato apportate dai criteri di emissione, il provisioning del certificato non andrà a buon fine e lo stato del certificato gestito cambierà in Failed. Per risolvere il problema, conferma quanto segue:

  • I vincoli di identità del certificato consentono il passthrough del nome alternativo del soggetto e del soggetto (SAN).
  • Il vincolo di durata massima del certificato è maggiore di quella della risorsa di configurazione di emissione del certificato.

Per i problemi precedenti, poiché CA Service ha già emesso il certificato, ti verranno addebitati i costi in base ai prezzi di CA Service.

Se ricevi l'errore Rejected for issuing certificates from the configured CA Pool, significa che il criterio di emissione del certificato ha bloccato il certificato richiesto. Per risolvere l'errore, verifica quanto segue:

  • La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
  • I tipi di chiavi consentiti sono compatibili con l'algoritmo della chiave della risorsa di configurazione di emissione dei certificati utilizzata.

Per i problemi precedenti, poiché CA Service non ha emesso il certificato, non ti verrà addebitata la fatturazione da parte di CA Service.