Solução de problemas do Gerenciador de certificados

Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.

Para receber ajuda com a resolução de problemas relacionados a certificados TLS (SSL), consulte Solução de problemas de certificados SSL.

Erro ao remover um mapa de certificado de um proxy de destino

Quando desanexar um mapa de certificado de um proxy de destino, será exibido o seguinte erro:

"There must be at least one certificate configured for a target proxy."

Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificado que você está tentando desconectar. Para remover o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.

Erro ao associar uma entrada do mapa de certificado a um certificado

Ao associar uma entrada de mapa de certificado a um certificado, você recebe o seguinte erro:

"certificate can't be used more than 100 times"

Esse erro ocorre quando você tenta associar uma entrada de mapa de certificado a uma certificado que já esteja associado a 100 entradas de mapas de certificado. Para resolver o problema, faça o seguinte:

  • Para certificados gerenciados pelo Google, crie outro certificado. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
  • Para certificados autogerenciados, faça upload do certificado novamente com um novo nome. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.

Problemas relacionados a certificados emitidos por uma instância de serviço de AC

Esta seção lista os erros mais comuns que você pode encontrar ao usar Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela instância do CA Service e as possíveis causas.

Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:

  • O ciclo de vida. Ciclo de vida do certificado válido valores são de 21 a 30 dias.
  • A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99 por cento. Você deve definir a porcentagem da janela de rotação em em relação ao ciclo de vida do certificado, para que a renovação ocorra em pelo menos sete dias após a emissão do certificado e pelo menos sete dias antes que expire.
  • O algoritmo de chave. Os valores válidos do algoritmo de chave são: RSA_2048 e ECDSA_P256.
  • O pool de ACs. O pool de ACs não existe ou está configurado incorretamente. O pool de ACs precisa conter pelo menos uma AC ativada e a O autor da chamada precisa ter a permissão privateca.capools.use no destino projeto do Google Cloud. Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local do pool de ACs.

Se você receber um erro Failed to create a managed certificate, verifique o seguintes:

  • O recurso de configuração de emissão de certificados que você especificou ao criar o certificado existe.
  • O autor da chamada tem a permissão certificatemanager.certissuanceconfigs.use no recurso de configuração de emissão de certificado que você especificou quando criar o certificado.
  • O certificado está no mesmo local que o recurso de configuração de emissão de certificados.

Se você receber um erro Failed to renew certificate ou Failed to provision certificate, verifique o seguinte:

  • A conta de serviço do Certificate Manager tem a permissão roles/privateca.certificateRequester no pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.

    Use o seguinte comando para verificar as permissões no pool de ACs de destino:

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    Substitua:

    • CA_POOL: o caminho de recurso completo e o nome do pool de ACs de destino
    • REGION: a região de destino do Google Cloud
  • Uma emissão de certificado política está na efeito Para mais informações, consulte Problemas relacionados à política de emissão restrições.

Problemas relacionados às restrições da política de emissão

Se o Gerenciador de certificados não oferecer suporte às mudanças em um certificado feitas pela política de emissão de certificados, o provisionamento de certificados vai falhar e o estado do certificado gerenciado vai mudar para Failed. Para resolver o problema, confirme o seguinte:

  • Restrições de identidade do certificado permitem o assunto e o nome alternativo do assunto (SAN, na sigla em inglês) passagem.
  • O ciclo de vida máximo do certificado for maior do que o ciclo de vida da emissão do certificado de configuração do Terraform.

Para os problemas anteriores, como o serviço de CA já emitiu o você será cobrado de acordo com o CA Service preços.

Se você receber o erro Rejected for issuing certificates from the configured CA Pool, isso indica que a política de emissão de certificados bloqueou a certificado solicitado. Para resolver o erro, verifique o seguinte:

  • O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs, na sigla em inglês).
  • Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração de emissão de certificado usado.

Para os problemas anteriores, como o CA Service não emitiu o erro certificado, você não será cobrado pelo serviço de AC.

Problemas relacionados à correspondência do nome do host do IAP

Se você receber a mensagem de erro The host name provided does not match the SSL certificate on the server inesperadamente, ao usar o Gerenciador de certificados com o Identity-Aware Proxy (IAP), verifique se você está usando um certificado válido para esse nome de host. Listar também entradas do mapa de certificados que você configurou no mapa de certificado. Cada nome de host ou nome de host curinga que você pretende usar com o IAP precisa ter uma entrada dedicada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma entrada do mapa de certificado.

As solicitações que usam a entrada do mapa de certificado principal durante a seleção de certificado são sempre rejeitadas pelo IAP.