Fehlerbehebung im Zertifikatmanager

Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung von Certificate Manager auftreten können. Er enthält auch Schritte zur Diagnose und Behebung dieser Fehler.

Informationen zum Beheben von Problemen mit TLS-Zertifikaten (SSL) finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.

Fehler beim Trennen einer Zertifikatszuordnung von einem Zielproxy

Wenn Sie eine Zertifikatszuordnung von einem Zielproxy trennen, wird der folgende Fehler angezeigt:

"There must be at least one certificate configured for a target proxy."

Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate als die in der Zertifikatszuordnung angegebenen Zertifikate zugewiesen sind. Um die Zuordnung zu trennen, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.

Probleme mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden

In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die auftreten können, wenn Sie mit Certificate Manager von Google verwaltete Zertifikate bereitstellen, die von Ihrer CA Service-Instanz ausgestellt wurden, und ihre möglichen Ursachen.

Wenn der Fehler Failed to create Certificate Issuance Config resources angezeigt wird, prüfen Sie Folgendes:

  • Die Lebensdauer: Gültige Werte für die Zertifikatslebensdauer liegen zwischen 21 und 30 Tagen.
  • Prozentsatz des Rotationsfensters: Gültige Rotationsfenster-Prozentsätze liegen zwischen 1 und 99 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, damit die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.
  • Schlüsselalgorithmus: Gültige Schlüsselalgorithmuswerte sind: RSA_2048 und ECDSA_P256.
  • Der Zertifizierungsstellenpool. Der Zertifizierungsstellenpool ist entweder nicht vorhanden oder falsch konfiguriert. Der Zertifizierungsstellenpool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung privateca.capools.use für das Google Cloud-Zielprojekt haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatsausstellung am selben Standort wie der CA-Pool erstellt werden.

Wenn Sie den Fehler Failed to create a managed certificate erhalten, prüfen Sie Folgendes:

  • Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
  • Der Aufrufer hat die Berechtigung certificatemanager.certissuanceconfigs.use für die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben.
  • Das Zertifikat befindet sich am selben Speicherort wie die Konfigurationsressource für die Zertifikatsausstellung.

Wenn Sie den Fehler Failed to renew certificate oder Failed to provision certificate erhalten, prüfen Sie Folgendes:

  • Das Dienstkonto des Zertifikatmanagers hat die Berechtigung roles/privateca.certificateRequester für den Zertifizierungsstellenpool, der in der Konfigurationsressource für die Zertifikatsausstellung angegeben ist, die für dieses Zertifikat verwendet wird.

    Verwenden Sie den folgenden Befehl, um die Berechtigungen für den Zertifizierungsstellenpool zu prüfen:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    Ersetzen Sie Folgendes:

    • CA_POOL: der vollständige Ressourcenpfad und der Name des Zertifizierungsstellen-Zielpools
    • REGION: die Google Cloud-Zielregion

  • Es ist eine Richtlinie zur Zertifikatsausstellung wirksam. Weitere Informationen finden Sie unter Probleme mit Einschränkungen von Ausstellungsrichtlinien.

Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie

Wenn der Zertifikatsmanager die von der Zertifikatsausstellungsrichtlinie vorgenommenen Änderungen an einem Zertifikat nicht unterstützt, schlägt die Zertifikatsbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich in Failed. Prüfen Sie Folgendes, um das Problem zu beheben:

  • Die Identitätseinschränkungen des Zertifikats ermöglichen die Passthrough-Option für Subjekt- und Antragstellernamen (Subject Alternative Name, SAN).
  • Die Einschränkung der maximalen Lebensdauer des Zertifikats ist größer als die Lebensdauer der Konfigurationsressource für die Zertifikatsausstellung.

Da CA Service das Zertifikat bereits ausgestellt hat, werden die vorherigen Probleme gemäß den CA Service-Preisen in Rechnung gestellt.

Wenn Sie den Fehler Rejected for issuing certificates from the configured CA Pool erhalten, bedeutet dies, dass die Richtlinie zur Zertifikatsausstellung das angeforderte Zertifikat blockiert hat. So beheben Sie den Fehler:

  • Im Ausstellungsmodus des Zertifikats sind Anfragen zur Zertifikatssignierung (Certificate Signing Request, CSR) zulässig.
  • Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Konfigurationsressource für die Zertifikatsausstellung kompatibel.

Da CA Service das Zertifikat nicht ausgestellt hat, werden Ihnen die vorherigen Probleme nicht in Rechnung gestellt.