In questa pagina vengono descritti gli errori più comuni che potresti riscontrare durante l'utilizzo Gestore certificati. Fornisce anche procedure per diagnosticare e risolvere questi errori.
Problemi relativi ai certificati TLS (SSL)
Per assistenza nella risoluzione dei problemi relativi ai certificati TLS (SSL), consulta Risoluzione dei problemi relativi a SSL certificati.
Errore durante lo scollegamento di una mappa di certificati da un proxy di destinazione
Quando stacca una mappa dei certificati da un proxy di destinazione, viene visualizzato il seguente errore:
"There must be at least one certificate configured for a target proxy."
Questo errore si verifica quando non sono presenti certificati assegnati al proxy di destinazione a parte quelli specificati nella mappa di certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.
Problemi relativi ai certificati emessi da un'istanza del servizio di CA
Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Gestione certificati per implementare i certificati gestiti da Google emessi dall'istanza del servizio CA, nonché le relative cause.
Se ricevi l'errore Failed to create Certificate Issuance Config resources,
controlla quanto segue:
- L'intera durata. I valori validi per la durata del certificato vanno da 21 a 30 giorni.
- La percentuale della finestra di rotazione. Le percentuali valide della finestra di rotazione sono dall'1 al 99%. Devi impostare la percentuale della finestra di rotazione in in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno 7 giorni dopo l'emissione del certificato e almeno 7 giorni prima che scada.
- L'algoritmo chiave. I valori validi dell'algoritmo chiave sono:
RSA_2048eECDSA_P256. - Il pool di CA. Il pool di CA non esiste o è configurato in modo errato.
Il pool di CA deve contenere almeno una CA abilitata e il
il chiamante deve avere l'autorizzazione
privateca.capools.useper la destinazione progetto Google Cloud. Per i certificati a livello di regione, il numero di emissione la risorsa di configurazione deve essere creata nella stessa località del pool di CA.
Se ricevi un errore Failed to create a managed certificate, controlla
seguenti:
- La risorsa di configurazione dell'emissione dei certificati specificato durante la creazione del certificato.
- Il chiamante dispone dell'autorizzazione
certificatemanager.certissuanceconfigs.usesulla risorsa di configurazione dell'emissione del certificato specificata durante la creazione del certificato. - Il certificato si trova nella stessa posizione della risorsa di configurazione per la concessione dei certificati.
Se ricevi un errore Failed to renew certificate o Failed to provision
certificate, controlla quanto segue:
L'account di servizio Gestore certificati include Autorizzazione
roles/privateca.certificateRequestersul pool di CA specificato nella risorsa di configurazione dell'emissione dei certificati utilizzata per questo certificato.Utilizza il seguente comando per verificare le autorizzazioni nel pool di CA di destinazione:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Sostituisci quanto segue:
CA_POOL: il percorso completo e il nome della risorsa del pool CA di destinazioneREGION: la regione Google Cloud di destinazione
Un rilascio di un certificato è in effetto. Per ulteriori informazioni, consulta la sezione Problemi relativi alle norme di emissione limitazioni.
Problemi relativi alle limitazioni previste dalle norme di emissione
Se Gestore certificati non supporta le modifiche apportate a un certificato dal criterio di emissione dei certificati, il provisioning del certificato non va a buon fine e lo stato del certificato gestito diventa Failed. Da risolvere
il problema, conferma quanto segue:
- I vincoli di identità del certificato consentono il nome alternativo del soggetto e del soggetto (SAN) e passthrough.
- Il vincolo della durata massima del certificato è superiore alla durata della risorsa di configurazione dell'emissione del certificato.
Per i problemi precedenti, in quanto CA Service ha già emesso certificato, la fatturazione avviene in base a CA Service prezzi.
Se ricevi l'errore Rejected for issuing certificates from the configured
CA Pool, significa che il criterio di emissione del certificato ha bloccato
certificato richiesto. Per risolvere l'errore, verifica quanto segue:
- La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
- I tipi di chiavi consentiti sono compatibili con algoritmo chiave della risorsa di configurazione dell'emissione dei certificati in uso.
Per i problemi precedenti, perché CA Service non ha emesso il non ti verrà addebitato alcun costo da parte di CA Service.
Problemi relativi alla corrispondenza del nome host IAP
Se ricevi inaspettatamente l'errore The host name provided does not match the
SSL certificate on the server quando utilizzi il gestore dei certificati con Identity-Aware Proxy (IAP), verifica di utilizzare un certificato valido per quel nome host. Elenca anche le voci della mappa di certificati
che hai configurato nella mappa di certificati. Ogni nome host o carattere jolly
il nome host che intendi utilizzare con IAP deve avere un indirizzo
. Se la voce della mappa di certificati per il tuo nome host non è presente, crea una
voce della mappa di certificati.
Richieste che si basano sulla voce della mappa di certificati principale durante selezione dei certificati vengono sempre rifiutati da IAP.