En esta página, se describen los errores más comunes que puedes encontrar cuando usas el Administrador de certificados. También proporciona pasos para diagnosticar y resolver esos errores.
Problemas relacionados con los certificados TLS (SSL)
Para obtener ayuda con la resolución de problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas de certificados SSL.
Se produce un error cuando se desconecta un mapa de certificados de un proxy de destino.
Cuando desconectas un mapa de certificados de un proxy de destino, recibes el siguiente error:
"There must be at least one certificate configured for a target proxy."
Este error se produce cuando no hay certificados asignados al proxy de destino, además de los especificados en el mapa de certificados que intentas adjuntar. Para separar el mapa, primero asigna uno o más certificados directamente al proxy.
Se produce un error cuando se asocia una entrada de mapa de certificados con un certificado.
Cuando asocias una entrada de mapa de certificados con un certificado, recibes el siguiente error:
"certificate can't be used more than 100 times"
Este error ocurre cuando intentas asociar una entrada de mapa de certificados con un certificado que ya está asociado con 100 entradas de mapa de certificados. Para solucionar el problema, haz lo siguiente:
- Para los certificados administrados por Google, crea otro certificado. Asocia las entradas del mapa de certificados nuevo con este certificado y adjúntalo al balanceador de cargas.
- En el caso de los certificados autoadministrados, vuelve a subir el certificado con un nombre nuevo. Asocia las nuevas entradas del mapa de certificados con este certificado nuevo y adjúntalo al balanceador de cargas.
Problemas relacionados con los certificados emitidos por una instancia de Certificate Authority Service
En esta sección, se enumeran los errores más comunes que puedes encontrar cuando usas Certificate Manager para implementar certificados administrados por Google que emitió tu instancia de Certificate Authority Service y sus posibles causas.
Si recibes el error Failed to create Certificate Issuance Config resources, verifica lo siguiente:
- La vida útil. Los valores válidos de la vida útil del certificado son de 21 a 30 días.
- El porcentaje de la ventana de rotación. Los porcentajes válidos de la ventana de rotación van del 1 al 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
- El algoritmo de clave Los valores válidos del algoritmo de claves son
RSA_2048yECDSA_P256. - El grupo de AC El grupo de AC no existe o está mal configurado.
El grupo de AC debe contener al menos una AC habilitada, y el llamador debe tener el permiso
privateca.capools.useen el proyecto de Google Cloud de destino. En el caso de los certificados regionales, el recurso de configuración de emisión de certificados se debe crear en la misma ubicación que el grupo de AC.
Si recibes un error Failed to create a managed certificate, verifica lo siguiente:
- Existe el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
- El llamador tiene el permiso
certificatemanager.certissuanceconfigs.useen el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado. - El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.
Si recibes un error Failed to renew certificate o Failed to provision
certificate, verifica lo siguiente:
La cuenta de servicio de Certificate Manager tiene el permiso
roles/privateca.certificateRequesteren el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Reemplaza lo siguiente:
CA_POOL: Es la ruta de acceso y el nombre de recurso completos del grupo de AC de destino.REGION: La región Google Cloud de destino
Hay una política de emisión de certificados vigente. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.
Problemas relacionados con las restricciones de la política de emisión
Si el Administrador de certificados no admite los cambios en un certificado realizados por la política de emisión de certificados, el aprovisionamiento de certificados falla y el estado del certificado administrado cambia a Failed. Para resolver el problema, confirma lo siguiente:
- Las restricciones de identidad del certificado permiten la transferencia de nombres alternativos de sujeto (SAN) y de sujeto.
- La restricción de duración máxima del certificado es mayor que la duración del recurso de configuración de emisión de certificados.
En el caso de los problemas anteriores, como el servicio de AC ya emitió el certificado, se te factura según los precios del servicio de AC.
Si recibes el error Rejected for issuing certificates from the configured
CA Pool, significa que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:
- El modo de emisión del certificado permite solicitudes de firma de certificado (CSR).
- Los tipos de claves permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se usa.
En el caso de los problemas anteriores, como el servicio de AC no emitió el certificado, no se te factura.
Problemas relacionados con la coincidencia de nombres de host de IAP
Si recibes el error The host name provided does not match the
SSL certificate on the server de forma inesperada cuando usas el Administrador de certificados con Identity-Aware Proxy (IAP), verifica que estés usando un certificado válido para ese nombre de host. También muestra las entradas de mapa de certificados que configuraste en tu mapa de certificados. Cada nombre de host o nombre de host con comodín que quieras usar con IAP debe tener una entrada dedicada. Si falta la entrada del mapa de certificados para tu nombre de host, crea una entrada de mapa de certificados.
El IAP siempre rechaza las solicitudes que recurren a la entrada principal del mapa de certificados durante la selección de certificados.
¿Qué sigue?
- Notas de la versión del Administrador de certificados
- Compatibilidad con el Administrador de certificados