Questa pagina descrive gli errori più comuni che potresti riscontrare durante l'utilizzo di Gestore dei certificati. Fornisce inoltre i passaggi per diagnosticare e risolvere questi errori.
Problemi relativi ai certificati TLS (SSL)
Per assistenza in merito alla risoluzione dei problemi relativi ai certificati TLS (SSL), consulta la sezione Risoluzione dei problemi relativi ai certificati SSL.
Errore durante lo scollegamento di una mappa dei certificati da un proxy di destinazione
Quando stacca una mappa dei certificati da un proxy di destinazione, viene visualizzato il seguente errore:
"There must be at least one certificate configured for a target proxy."
Questo errore si verifica quando non sono assegnati certificati al proxy di destinazione diversi da quelli specificati nella mappa dei certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.
Errore durante l'associazione di una voce della mappa dei certificati a un certificato
Quando associ una voce della mappa di certificati a un certificato, ricevi il seguente errore:
"certificate can't be used more than 100 times"
Questo errore si verifica quando tenti di associare una voce di mappa di certificati a un certificato già associato a 100 voci di mappa di certificati. Per risolvere il problema:
- Per i certificati gestiti da Google, crea un altro certificato. Associa le voci della nuova mappa di certificati a questo nuovo certificato e collegalo al bilanciatore del carico.
- Per i certificati autogestiti, carica di nuovo il certificato con un nuovo nome. Associa le voci della mappa del nuovo certificato a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.
Problemi relativi ai certificati emessi da un'istanza di CA Service
Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Gestione certificati per implementare i certificati gestiti da Google emessi dall'istanza del servizio CA e le relative possibili cause.
Se ricevi l'errore Failed to create Certificate Issuance Config resources,
controlla quanto segue:
- La durata. I valori validi per la durata del certificato vanno da 21 a 30 giorni.
- La percentuale della finestra di rotazione. Le percentuali della finestra di rotazione valide vanno da 1 a 99. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo del certificato avvenga almeno 7 giorni dopo la sua emissione e almeno 7 giorni prima della scadenza.
- L'algoritmo chiave. I valori validi dell'algoritmo chiave sono:
RSA_2048eECDSA_P256. - Il pool di CA. Il pool di CA non esiste o è configurato in modo errato.
Il pool CA deve contenere almeno una CA abilitata e l'utente chiamante deve disporre dell'autorizzazione
privateca.capools.useper il progetto Google Cloud di destinazione. Per i certificati regionali, la risorsa di configurazione dell'emissione dei certificati deve essere creata nella stessa posizione del pool di CA.
Se ricevi un errore Failed to create a managed certificate, controlla quanto segue:
- La risorsa di configurazione dell'emissione dei certificati specificata al momento della creazione del certificato esiste.
- Il chiamante dispone dell'autorizzazione
certificatemanager.certissuanceconfigs.usesulla risorsa di configurazione di emissione del certificato specificata durante la creazione del certificato. - Il certificato si trova nella stessa posizione della risorsa di configurazione per la concessione dei certificati.
Se ricevi un errore Failed to renew certificate o Failed to provision
certificate, controlla quanto segue:
L'account di servizio Certificate Manager dispone dell'autorizzazione
roles/privateca.certificateRequesterper il pool di CA specificato nella risorsa di configurazione dell'emissione dei certificati utilizzata per questo certificato.Utilizza il seguente comando per controllare le autorizzazioni nel pool CA di destinazione:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Sostituisci quanto segue:
CA_POOL: il percorso completo e il nome della risorsa del pool di CA di destinazioneREGION: la regione Google Cloud di destinazione
È in vigore un'norma sull'emissione di certificati. Per ulteriori informazioni, consulta la sezione Problemi relativi alle limitazioni delle norme di emissione.
Problemi relativi alle limitazioni delle norme relative al rilascio
Se Gestore certificati non supporta le modifiche apportate a un certificato dal criterio di emissione dei certificati, il provisioning del certificato non va a buon fine e lo stato del certificato gestito diventa Failed. Per risolvere il problema, verifica quanto segue:
- I vincoli di identità del certificato consentono il trasferimento di soggetto e nome alternativo dell'oggetto (SAN).
- Il vincolo della durata massima del certificato è superiore alla durata della risorsa di configurazione dell'emissione del certificato.
Per i problemi precedenti, poiché CA Service ha già emesso il certificato, ti verrà addebitato l'importo in base ai prezzi di CA Service.
Se ricevi l'errore Rejected for issuing certificates from the configured
CA Pool, significa che i criteri di rilascio dei certificati hanno bloccato il
certificato richiesto. Per risolvere l'errore, verifica quanto segue:
- La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
- I tipi di chiavi consentiti sono compatibili con l'algoritmo di chiave della risorsa di configurazione dell'emissione del certificato in uso.
Per i problemi precedenti, poiché il servizio CA non ha emesso il certificato, non ti viene addebitato alcun importo.
Problemi relativi alla corrispondenza dei nomi host IAP
Se ricevi inaspettatamente l'errore The host name provided does not match the
SSL certificate on the server quando utilizzi il gestore dei certificati con Identity-Aware Proxy (IAP), verifica di utilizzare un certificato valido per quel nome host. Elenca anche le voci della mappa di certificati
che hai configurato nella mappa di certificati. Ogni nome host o nome host con caratteri jolly che intendi utilizzare con IAP deve avere una voce dedicata. Se la voce della mappa di certificati per il tuo nome host non è presente, crea una voce della mappa di certificati.
Le richieste che ricorrono alla voce della mappa del certificato principale durante la selezione del certificato vengono sempre rifiutate dall'IAP.