Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lors de l'utilisation du gestionnaire de certificats. Elle décrit également les étapes à suivre pour diagnostiquer et résoudre ces erreurs.
Problèmes liés aux certificats TLS (SSL)
Pour obtenir de l'aide concernant la résolution des problèmes liés aux certificats TLS (SSL), consultez la page Résoudre les problèmes liés aux certificats SSL.
Erreur lors de la dissociation d'un mappage de certificat d'un proxy cible
Lorsque vous dissociez un mappage de certificat d'un proxy cible, vous recevez l'erreur suivante:
"There must be at least one certificate configured for a target proxy."
Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible en dehors de ceux spécifiés dans le mappage de certificats que vous essayez de dissocier. Pour dissocier la carte, commencez par attribuer un ou plusieurs certificats directement au proxy.
Problèmes liés aux certificats émis par une instance de CA Service
Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le gestionnaire de certificats pour déployer des certificats gérés par Google émis par votre instance CA Service, ainsi que leurs causes possibles.
Si vous recevez l'erreur Failed to create Certificate Issuance Config resources, vérifiez les points suivants:
- Durée de vie : Pour être valides, les certificats sont compris entre 21 et 30 jours.
- Pourcentage de la période de rotation. Les pourcentages d'intervalle de rotation valides sont compris entre 1 et 99 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat afin que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.
- L'algorithme de clé : Les valeurs valides de l'algorithme de clé sont les suivantes:
RSA_2048etECDSA_P256. - Pool d'autorités de certification. Le pool d'autorités de certification n'existe pas ou est mal configuré.
Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'appelant doit disposer de l'autorisation
privateca.capools.usesur le projet Google Cloud cible. Pour les certificats régionaux, la ressource de configuration d'émission de certificats doit être créée au même emplacement que le pool d'autorités de certification.
Si vous recevez une erreur Failed to create a managed certificate, vérifiez les points suivants:
- La ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat existe.
- L'appelant dispose de l'autorisation
certificatemanager.certissuanceconfigs.usesur la ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat. - Le certificat se trouve au même emplacement que la ressource de configuration d'émission de certificats.
Si vous recevez une erreur Failed to renew certificate ou Failed to provision
certificate, vérifiez les points suivants:
Le compte de service du gestionnaire de certificats dispose de l'autorisation
roles/privateca.certificateRequestersur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.Exécutez la commande suivante pour vérifier les autorisations sur le pool d'autorités de certification cible:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Remplacez les éléments suivants :
CA_POOL: chemin d'accès complet à la ressource et nom du pool d'autorités de certification cibleREGION: région Google Cloud cible
Une stratégie d'émission de certificats est en vigueur. Pour en savoir plus, consultez la section Problèmes liés aux restrictions liées aux règles d'émission.
Problèmes liés aux restrictions liées aux règles d'émission
Si le gestionnaire de certificats n'est pas compatible avec les modifications apportées à un certificat par la stratégie d'émission de certificats, le provisionnement du certificat échoue et l'état du certificat géré passe à Failed. Pour résoudre le problème, vérifiez les points suivants:
- Les contraintes d'identité du certificat autorisent le contournement de l'objet et du nom alternatif (SAN).
- La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration d'émission de certificats.
Pour les problèmes précédents, comme CA Service a déjà émis le certificat, vous êtes facturé selon les tarifs du service CA.
Si vous recevez l'erreur Rejected for issuing certificates from the configured
CA Pool, cela signifie que la stratégie d'émission de certificats a bloqué le certificat demandé. Pour résoudre l'erreur, vérifiez les points suivants:
- Le mode d'émission du certificat autorise les requêtes de signature de certificat (CSR).
- Les types de clés autorisés sont compatibles avec l'algorithme de clé de la ressource de configuration d'émission de certificats utilisée.
Pour les problèmes précédents, comme CA Service n'a pas émis le certificat, vous n'êtes pas facturé par CA Service.