Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung von Zertifikatmanager. Außerdem werden Schritte zur Diagnose und Behebung dieser Fehler beschrieben.
Probleme im Zusammenhang mit TLS/SSL-Zertifikaten
Informationen zum Beheben von Problemen mit TLS- (SSL-) Zertifikaten finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.
Fehler beim Entfernen einer Zertifikatzuordnung von einem Zielproxy
Wann? Trennen einer Zertifikatszuordnung von einem Zielproxy, erhalten Sie die folgende Fehlermeldung:
"There must be at least one certificate configured for a target proxy."
Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate als die in der Zertifikatzuordnung zugewiesen sind, die Sie trennen möchten. Um die Karte zu trennen, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.
Fehler beim Verknüpfen eines Zertifikatszuordnungseintrags mit einem Zertifikat
Beim Verknüpfen eines Zertifikatszuordnungseintrags mit einem Zertifikat erhalten Sie den folgenden Fehler:
"certificate can't be used more than 100 times"
Dieser Fehler tritt auf, wenn Sie versuchen, einen Eintrag der Zertifikatszuordnung mit einem Zertifikat zu verknüpfen, das bereits mit 100 Einträgen der Zertifikatszuordnung verknüpft ist. So beheben Sie das Problem:
- Erstellen Sie für von Google verwaltete Zertifikate ein weiteres Zertifikat. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.
- Laden Sie selbstverwaltete Zertifikate noch einmal mit einem neuen Namen hoch. Verknüpfen Sie die neuen Zertifikatszuordnungseinträge mit diesem neuen Zertifikat. und hängen Sie das neue Zertifikat an den Load-Balancer an.
Probleme im Zusammenhang mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden
In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die bei der Bereitstellung von von Ihrer CA Service-Instanz ausgestellten, von Google verwalteten Zertifikaten mit Zertifikatmanager auftreten können, sowie ihre möglichen Ursachen.
Wenn Sie den Fehler Failed to create Certificate Issuance Config resources erhalten,
überprüfen Sie Folgendes:
- Die Lebensdauer. Gültige Werte für die Zertifikatslaufzeit liegen zwischen 21 und 30 Tagen.
- Prozentsatz des Rotationsfensters: Gültige Prozentsätze für das Rotationsfenster liegen zwischen 1 und 99 Prozent. Sie müssen den Prozentsatz für das Rotationsfenster festlegen in in Bezug auf die Lebensdauer des Zertifikats, mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage bevor sie abläuft.
- Der Schlüsselalgorithmus Gültige Werte des Schlüsselalgorithmus
sind
RSA_2048undECDSA_P256. - Der CA-Pool Der CA-Pool ist entweder nicht vorhanden oder falsch konfiguriert.
Der CA-Pool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung
privateca.capools.usefür das Ziel-Google Cloud-Projekt haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatausstellung am selben Ort wie der CA-Pool erstellt werden.
Wenn der Fehler Failed to create a managed certificate ausgegeben wird, prüfen Sie Folgendes:
- Die Konfigurationsressource für die Zertifikatsausstellung, die Sie das beim Erstellen des Zertifikats angegeben wurde.
- Der Aufrufer hat die Berechtigung
certificatemanager.certissuanceconfigs.usefür die Konfigurationsressource zur Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben. - Das Zertifikat befindet sich am selben Standort wie das Zertifikat. Konfigurationsressource der Ausstellung.
Wenn Sie den Fehler Failed to renew certificate oder Failed to provision
certificate erhalten, prüfen Sie Folgendes:
Das Dienstkonto des Zertifikatmanagers hat die Berechtigung
roles/privateca.certificateRequesterfür den angegebenen Zertifizierungsstellenpool in der Konfigurationsressource für die Zertifikatsausstellung, die für dieses Zertifikat.Verwenden Sie den folgenden Befehl, um die Berechtigungen für den Ziel-CA-Pool zu prüfen:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Ersetzen Sie Folgendes:
CA_POOL: der vollständige Ressourcenpfad und der Name des Ziel-CA-PoolsREGION: die Google Cloud-Zielregion
Zertifikatsausstellung Richtlinie ist in Effekt. Weitere Informationen finden Sie unter Probleme mit der Ausstellungsrichtlinie .
Probleme im Zusammenhang mit Einschränkungen der Richtlinien für die Ausstellung
Wenn der Zertifikatmanager die Änderungen an einem
Zertifikat, das durch die Richtlinie für die Zertifikatsausstellung erstellt wurde, die Zertifikatbereitstellung
schlägt fehl und der Status des verwalteten Zertifikats ändert sich in Failed. Prüfen Sie Folgendes, um das Problem zu beheben:
- Die Identitätseinschränkungen des Zertifikats ermöglichen die Weiterleitung des Antragstellers und des alternativen Antragstellernamens (Subject Alternative Name, SAN).
- Die Einschränkung der maximalen Lebensdauer des Zertifikats ist länger als die Lebensdauer der Konfigurationsressource für die Zertifikatsausstellung.
Da der CA-Dienst das Zertifikat bereits ausgestellt hat, werden Ihnen die Kosten für die vorherigen Probleme gemäß den Preisen für den CA-Dienst in Rechnung gestellt.
Wenn Sie den Fehler Rejected for issuing certificates from the configured
CA Pool erhalten, bedeutet dies, dass die Richtlinie zur Zertifikatsausstellung das
angefordertes Zertifikat. So beheben Sie den Fehler:
- Der Ausstellungsmodus des Zertifikats erlaubt Anfragen zur Zertifikatssignatur (Certificate Signing Request, CSR).
- Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Konfigurationsressource für die Zertifikatausstellung kompatibel.
Da CA Service den erfolgt die Abrechnung nicht über CA Service.
Probleme im Zusammenhang mit der Übereinstimmung von IAP-Hostnamen
Wenn Sie bei der Verwendung des Zertifikatsmanagers mit Identity-Aware Proxy (IAP) unerwartet den Fehler The host name provided does not match the
SSL certificate on the server erhalten, prüfen Sie, ob Sie ein Zertifikat verwenden, das für diesen Hostnamen gültig ist. Liste der Zertifikatszuordnungseinträge auf
die Sie in Ihrer Zertifikatszuordnung konfiguriert haben. Jeder Hostname oder Platzhalter
Hostname, den Sie mit IAP verwenden möchten, eine eigene
zu erstellen. Wenn der Eintrag für die Zertifikatszuordnung für Ihren Hostnamen fehlt, erstellen Sie einen
Zertifikatzuordnungseintrag.
Anfragen, die während des Vorgangs auf den Eintrag der primären Zertifikatszuordnung zurückgreifen Zertifikatauswahl werden von IAP immer abgelehnt.