Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung von Certificate Manager auftreten können. Er enthält auch Schritte zur Diagnose und Behebung dieser Fehler.
Probleme mit TLS/SSL-Zertifikaten
Informationen zum Beheben von Problemen mit TLS-Zertifikaten (SSL) finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.
Fehler beim Trennen einer Zertifikatszuordnung von einem Zielproxy
Wenn Sie eine Zertifikatszuordnung von einem Zielproxy trennen, wird der folgende Fehler angezeigt:
"There must be at least one certificate configured for a target proxy."
Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate als die in der Zertifikatszuordnung angegebenen Zertifikate zugewiesen sind. Um die Zuordnung zu trennen, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.
Probleme mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden
In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die auftreten können, wenn Sie mit Certificate Manager von Google verwaltete Zertifikate bereitstellen, die von Ihrer CA Service-Instanz ausgestellt wurden, und ihre möglichen Ursachen.
Wenn der Fehler Failed to create Certificate Issuance Config resources
angezeigt wird, prüfen Sie Folgendes:
- Die Lebensdauer: Gültige Werte für die Zertifikatslebensdauer liegen zwischen 21 und 30 Tagen.
- Prozentsatz des Rotationsfensters: Gültige Rotationsfenster-Prozentsätze liegen zwischen 1 und 99 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, damit die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.
- Schlüsselalgorithmus: Gültige Schlüsselalgorithmuswerte sind:
RSA_2048
undECDSA_P256
. - Der Zertifizierungsstellenpool. Der Zertifizierungsstellenpool ist entweder nicht vorhanden oder falsch konfiguriert.
Der Zertifizierungsstellenpool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung
privateca.capools.use
für das Google Cloud-Zielprojekt haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatsausstellung am selben Standort wie der CA-Pool erstellt werden.
Wenn Sie den Fehler Failed to create a managed certificate
erhalten, prüfen Sie Folgendes:
- Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
- Der Aufrufer hat die Berechtigung
certificatemanager.certissuanceconfigs.use
für die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben. - Das Zertifikat befindet sich am selben Speicherort wie die Konfigurationsressource für die Zertifikatsausstellung.
Wenn Sie den Fehler Failed to renew certificate
oder Failed to provision
certificate
erhalten, prüfen Sie Folgendes:
Das Dienstkonto des Zertifikatmanagers hat die Berechtigung
roles/privateca.certificateRequester
für den Zertifizierungsstellenpool, der in der Konfigurationsressource für die Zertifikatsausstellung angegeben ist, die für dieses Zertifikat verwendet wird.Verwenden Sie den folgenden Befehl, um die Berechtigungen für den Zertifizierungsstellenpool zu prüfen:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Ersetzen Sie Folgendes:
CA_POOL
: der vollständige Ressourcenpfad und der Name des Zertifizierungsstellen-ZielpoolsREGION
: die Google Cloud-Zielregion
Es ist eine Richtlinie zur Zertifikatsausstellung wirksam. Weitere Informationen finden Sie unter Probleme mit Einschränkungen von Ausstellungsrichtlinien.
Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie
Wenn der Zertifikatsmanager die von der Zertifikatsausstellungsrichtlinie vorgenommenen Änderungen an einem Zertifikat nicht unterstützt, schlägt die Zertifikatsbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich in Failed
. Prüfen Sie Folgendes, um das Problem zu beheben:
- Die Identitätseinschränkungen des Zertifikats ermöglichen die Passthrough-Option für Subjekt- und Antragstellernamen (Subject Alternative Name, SAN).
- Die Einschränkung der maximalen Lebensdauer des Zertifikats ist größer als die Lebensdauer der Konfigurationsressource für die Zertifikatsausstellung.
Da CA Service das Zertifikat bereits ausgestellt hat, werden die vorherigen Probleme gemäß den CA Service-Preisen in Rechnung gestellt.
Wenn Sie den Fehler Rejected for issuing certificates from the configured
CA Pool
erhalten, bedeutet dies, dass die Richtlinie zur Zertifikatsausstellung das angeforderte Zertifikat blockiert hat. So beheben Sie den Fehler:
- Im Ausstellungsmodus des Zertifikats sind Anfragen zur Zertifikatssignierung (Certificate Signing Request, CSR) zulässig.
- Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Konfigurationsressource für die Zertifikatsausstellung kompatibel.
Da CA Service das Zertifikat nicht ausgestellt hat, werden Ihnen die vorherigen Probleme nicht in Rechnung gestellt.