このページでは、Certificate Manager の使用時に発生する可能性のある一般的なエラーについて説明します。また、これらのエラーを診断して解決する手順も示します。
TLS(SSL)証明書に関する問題
TLS(SSL)証明書に関連する問題を解決するには、SSL 証明書のトラブルシューティングをご覧ください。
ターゲット プロキシから証明書マップを切断するときに発生するエラー
ターゲット プロキシから証明書マップを切断すると、次のエラーが表示されます。
"There must be at least one certificate configured for a target proxy."
このエラーは、切断する証明書マップで指定された証明書以外のターゲット プロキシに割り当てられた証明書がない場合に発生します。 マップを切断するには、まず 1 つ以上の証明書をプロキシに直接割り当てます。
CA Service インスタンスによって発行された証明書に関連する問題
このセクションでは、Certificate Manager を使用して CA Service インスタンスによって発行された Google マネージド証明書をデプロイするときに発生する可能性がある最も一般的なエラーと、それらの考えられる原因について説明します。
Failed to create Certificate Issuance Config resources
エラーが発生した場合は、次の点を確認してください。
- 存続期間。証明書の有効な存続時間の値は 21 ~ 30 日間です。
- ローテーション時間枠の割合。有効なローテーション時間枠の割合は 1~99 パーセントです。証明書の更新が、証明書の発行の 7 日以上後、期限切れの 7 日以上前に行われるように、証明書の有効期間を基準にしてローテーション ウィンドウの割合を設定する必要があります。
- 鍵アルゴリズム。有効な鍵アルゴリズムの値は
RSA_2048
とECDSA_P256
です。 - CA プール。CA プールが存在しないか、正しく構成されていません。CA プールには、有効な CA が 1 つ以上含まれている必要があり、呼び出し元には、ターゲットの Google Cloud プロジェクトに対する
privateca.capools.use
権限が必要です。リージョン証明書の場合、証明書発行構成リソースは CA プールと同じロケーションに作成する必要があります。
Failed to create a managed certificate
エラーが発生した場合は、次の点を確認してください。
- 証明書の作成時に指定した証明書発行の構成リソースが存在している。
- 呼び出し元に、証明書の作成時に指定した証明書発行の構成リソースに対する
certificatemanager.certissuanceconfigs.use
権限がある。 - 証明書は、証明書発行構成リソースと同じロケーションにあります。
Failed to renew certificate
エラーまたは Failed to provision
certificate
エラーが発生した場合は、次の点を確認してください。
Certificate Manager サービス アカウントには、この証明書に使用される証明書発行の構成リソースで指定された CA プールに対する
roles/privateca.certificateRequester
権限が付与されています。ターゲット CA プールの権限を確認するには、次のコマンドを使用します。
gcloud privateca pools get-iam-policy CA_POOL --location REGION
以下のように置き換えます。
CA_POOL
: ターゲット CA プールの完全なリソースパスと名前REGION
: ターゲットの Google Cloud リージョン。
証明書発行ポリシーが有効になっています。詳しくは、発行ポリシーの制限に関する問題をご覧ください。
発行ポリシーの制限に関する問題
Certificate Manager が、証明書発行ポリシーによって作成された証明書への変更をサポートしていない場合、証明書のプロビジョニングは失敗し、マネージド証明書の状態は Failed
に変わります。この問題を解決するには、次の点を確認します。
前述の問題では、CA Service がすでに証明書を発行しているため、CA Service の料金に従って課金されます。
エラー Rejected for issuing certificates from the configured
CA Pool
が返された場合は、証明書発行ポリシーによって、要求された証明書がブロックされていることを示します。このエラーを解決するには、以下の点を確認してください。
前述の問題では、CA Service が証明書を発行していないため、CA Service から課金されません。
IAP ホスト名の照合に関する問題
Identity-Aware Proxy(IAP)で Certificate Manager を使用しているときに、予期せず The host name provided does not match the
SSL certificate on the server
というエラーが発生した場合は、そのホスト名で有効な証明書を使用していることを確認します。また、証明書マップ上で構成した証明書マップエントリを一覧表示します。IAP で使用するすべてのホスト名またはワイルドカード ホスト名に、専用のエントリが必要です。ホスト名の証明書マップエントリがない場合は、証明書マップエントリを作成します。
証明書の選択中にプライマリ証明書マップエントリにフォールバックするリクエストは、常に IAP によって拒否されます。