Cette page a été traduite par l'API Cloud Translation.

Résoudre les problèmes liés au Gestionnaire de certificats

Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lors de l'utilisation du Gestionnaire de certificats. Il fournit également les étapes à suivre pour diagnostiquer et résoudre ces erreurs.

Problèmes liés aux certificats TLS (SSL)

Pour obtenir de l'aide pour résoudre les problèmes liés aux certificats TLS (SSL), consultez la section Résoudre les problèmes liés aux certificats SSL.

Erreur lors de la dissociation d'une mise en correspondance de certificats d'un proxy cible

Lorsque vous déconnectez un mappage de certificat d'un proxy cible, l'erreur suivante s'affiche:

"There must be at least one certificate configured for a target proxy."

Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible, à l'exception de ceux spécifiés dans la carte de certificats que vous essayez de dissocier. Pour dissocier la carte, attribuez d'abord un ou plusieurs certificats directement au proxy.

Erreur lors de l'association d'une entrée de mappage de certificats à un certificat

Lorsque vous associez une entrée de mappage de certificat à un certificat, l'erreur suivante s'affiche:

"certificate can't be used more than 100 times"

Cette erreur se produit lorsque vous essayez d'associer une entrée de mappage de certificats à un certificat déjà associé à 100 entrées de mappage de certificats. Pour identifier le problème, procédez comme suit :

Pour les certificats gérés par Google, créez un autre certificat. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis joignez-le à l'équilibreur de charge.
Pour les certificats autogérés, importez-les à nouveau avec un nouveau nom. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis joignez-le à l'équilibreur de charge.

Problèmes liés aux certificats émis par une instance de service CA

Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le Gestionnaire de certificats pour déployer des certificats gérés par Google émis par votre instance de service d'autorité de certification, ainsi que leurs causes possibles.

Si l'erreur Failed to create Certificate Issuance Config resources s'affiche, vérifiez les points suivants:

Durée de vie Les valeurs de durée de vie du certificat valides sont comprises entre 21 et 30 jours.
Pourcentage de la période de rotation. Les pourcentages de période de rotation valides sont compris entre 1 et 99 %. Vous devez définir le pourcentage de la période de rotation en fonction de la durée de validité du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration.
Algorithme de clé Les valeurs valides pour l'algorithme de clé sont RSA_2048 et ECDSA_P256.
Pool d'autorités de certification Le pool d'autorités de certification n'existe pas ou est mal configuré. Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'appelant doit disposer de l'autorisation privateca.capools.use sur le projet Google Cloud cible. Pour les certificats régionaux, la ressource de configuration de l'émission de certificats doit être créée au même emplacement que le pool d'autorités de certification.

Si vous recevez une erreur Failed to create a managed certificate, vérifiez les points suivants:

La ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat existe.
L'appelant dispose de l'autorisation certificatemanager.certissuanceconfigs.use sur la ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat.
Le certificat se trouve au même emplacement que la ressource de configuration de l'émission de certificats.

Si vous recevez une erreur Failed to renew certificate ou Failed to provision certificate, vérifiez les points suivants:

Le compte de service Certificate Manager dispose de l'autorisation roles/privateca.certificateRequester sur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.

Utilisez la commande suivante pour vérifier les autorisations sur le pool d'autorités de certification cible:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Remplacez les éléments suivants :
- CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification cible
- REGION: région cible Google Cloud
Une politique d'émission de certificats est en vigueur. Pour en savoir plus, consultez Problèmes liés aux restrictions liées aux règles d'émission.

Problèmes liés aux restrictions liées aux règles d'émission

Si le Gestionnaire de certificats n'est pas compatible avec les modifications apportées à un certificat par la stratégie d'émission de certificats, le provisionnement de certificats échoue et l'état du certificat géré passe à Failed. Pour résoudre le problème, vérifiez les points suivants:

Les contraintes d'identité du certificat permettent le transfert de l'objet et de l'autre nom de l'objet (SAN).
La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration d'émission de certificats.

Pour les problèmes précédents, comme CA Service a déjà émis le certificat, vous êtes facturé selon les tarifs de CA Service.

Si vous recevez l'erreur Rejected for issuing certificates from the configured CA Pool, cela signifie que la stratégie d'émission de certificats a bloqué le certificat demandé. Pour résoudre l'erreur, vérifiez les points suivants:

Le mode d'émission du certificat autorise les demandes de signature de certificat (CSR).
Les types de clés autorisés sont compatibles avec l'algorithme de clé de la ressource de configuration d'émission de certificats utilisée.

Pour les problèmes précédents, comme le service d'autorité de certification n'a pas émis le certificat, vous ne serez pas facturé par ce service.

Problèmes liés à la mise en correspondance des noms d'hôte IAP

Si vous recevez une erreur The host name provided does not match the SSL certificate on the server inattendue lorsque vous utilisez le Gestionnaire de certificats avec Identity-Aware Proxy (IAP), vérifiez que vous utilisez un certificat valide pour ce nom d'hôte. Listez également les entrées de mappage de certificats que vous avez configurées sur votre mappage de certificats. Chaque nom d'hôte ou nom d'hôte générique que vous prévoyez d'utiliser avec l'IAP doit disposer d'une entrée dédiée. Si l'entrée de mappage de certificat pour votre nom d'hôte est manquante, créez une entrée de mappage de certificat.

Les requêtes qui reviennent à l'entrée de mappage de certificat principale lors de la sélection de certificat sont toujours refusées par l'IAP.