이 페이지는 Cloud Translation API를 통해 번역되었습니다.

인증서 관리자 문제 해결

이 페이지에서는 인증서 관리자를 사용할 때 발생할 수 있는 가장 일반적인 오류를 설명합니다. 또한 이러한 오류를 진단하고 해결하는 단계를 제공합니다.

TLS(SSL) 인증서와 관련된 문제

TLS (SSL) 인증서와 관련된 문제 해결에 대한 도움말은 SSL 인증서 문제 해결을 참고하세요.

인증서 관리자 인증서 관련 오류

이 섹션에서는 Google 관리 인증서 관리자 인증서의 authorizationAttemptInfo 필드와 관련된 오류의 문제 해결 정보를 설명합니다. 오류는 다음 필드에 이러한 값이 있는 경우에만 managed.authorizationAttemptInfo.troubleshooting 섹션에 표시됩니다.

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

오류 및 해결 방법에 대한 자세한 내용은 다음 표를 참고하세요.

오류	설명
`CNAME_MISMATCH`	이 오류는 예상되는 `CNAME` 레코드 값이 확인된 `CNAME` 레코드 값과 일치하지 않는 경우 DNS 승인에만 발생합니다. 이 문제를 해결하려면 예상되는 올바른 CNAME 레코드를 DNS 구성에 추가하세요. 자세한 내용은 DNS 구성에 CNAME 레코드 추가하기 섹션을 참고하세요.
`RESOLVED_TO_NOT_SERVING`	이 오류는 도메인에 인증서가 부착된 부하 분산기가 없는 특정 IP 주소를 가리키는 DNS `A` 및 `AAAA` 레코드가 포함된 경우에 발생합니다. 이 오류는 부하 분산기 승인이 있는 인증서에만 적용됩니다. 부하 분산기를 구성한 후에만 부하 분산기 승인을 사용하여 인증서를 프로비저닝할 수 있습니다. 이 문제를 해결하려면 부하 분산기의 IP 주소를 가리키도록 도메인의 DNS A 및 AAAA 레코드를 업데이트합니다. 도메인의 DNS `A` 및 `AAAA` 레코드에서 확인된 IP 주소는 `ips.resolved` 매개변수에 저장되고 이 인증서가 연결된 부하 분산기의 IP 주소는 `ips.serving` 매개변수에 저장됩니다. 도메인의 DNS `A` 및 `AAAA` 레코드는 부하 분산기의 IP 주소만 가리켜야 합니다. 예를 들어 DNS `A` 레코드가 부하 분산기의 IP 주소를 가리키지만 DNS `AAAA` 레코드가 다른 IP 주소를 가리키면 `RESOLVED_TO_NOT_SERVING` 오류가 발생합니다. 또한 도메인의 DNS `A` 및 `AAAA` 레코드가 전 세계에서 올바르고 일관되게 확인되는지 확인해야 합니다. 자세한 내용은 다각도 도메인 유효성 검사 실패 섹션을 참고하세요.
`NO_RESOLVED_IPS`	이 오류는 도메인에 DNS `A` 및 `AAAA` 레코드가 포함되어 있지 않은 경우 발생합니다. 이 오류는 부하 분산기 승인이 있는 인증서에만 적용됩니다. 부하 분산기를 구성한 후에만 부하 분산기 승인을 사용하여 인증서를 프로비저닝할 수 있습니다. 이 문제를 해결하려면 이 도메인의 DNS `A` 및 `AAAA` 레코드를 추가하고 레코드가 타겟 HTTPS 프록시 또는 Media CDN 에지 캐시 서비스의 IP 주소를 가리키는지 확인합니다. 또한 도메인의 DNS `A` 및 `AAAA` 레코드가 전 세계에서 올바르고 일관되게 확인되는지 확인해야 합니다. 자세한 내용은 다각도 도메인 유효성 검사 실패 섹션을 참고하세요.
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	이 오류는 DNS `A` 및 `AAAA` 레코드가 포함된 도메인이 이 인증서가 연결된 부하 분산기의 IP 주소를 가리키지만 해당 IP 주소에서 포트 `443`가 열려 있지 않은 경우 발생합니다. 이 오류는 부하 분산기 승인이 있는 인증서에만 적용됩니다. 부하 분산기를 구성한 후에만 부하 분산기 승인을 사용하여 인증서를 프로비저닝할 수 있습니다. 이 문제를 해결하려면 연결된 인증서가 있는 부하 분산기가 포트 `443`에서 수신 대기하고 있는지 확인하세요. `ips.serving_on_alt_ports` 매개변수는 포트 `443`이 열려 있지 않은 부하 분산기 IP 주소 목록을 저장합니다. 또한 도메인의 DNS `A` 및 `AAAA` 레코드가 전 세계에서 올바르고 일관되게 확인되는지 확인해야 합니다. 자세한 내용은 다각도 도메인 유효성 검사 실패 섹션을 참고하세요.
`CERTIFICATE_NOT_ATTACHED`	이 오류는 인증서가 부하 분산기에 연결되지 않은 경우에 발생합니다. 이 문제를 해결하려면 인증서가 부하 분산기에 연결되어 있는지 확인하세요. 자세한 내용은 부하 분산기에 인증서 배포 섹션을 참고하세요. 이 오류는 인증서가 대상 HTTPS 프록시에 연결된 인증서 맵의 일부이지만 프록시가 전달 규칙에 연결되지 않은 경우에도 발생합니다. 이 문제를 해결하려면 대상 HTTPS 프록시를 적절한 전달 규칙에 연결하세요. 자세한 내용은 대상 프록시 개요 및 전달 규칙 개요를 참고하세요. 이 오류는 부하 분산기 승인이 있는 인증서에만 적용됩니다. 부하 분산기를 구성한 후에만 부하 분산기 승인을 사용하여 인증서를 프로비저닝할 수 있습니다.

대상 프록시에서 인증서 맵을 분리할 때 오류 발생

대상 프록시에서 인증서 맵을 분리할 때 다음 오류가 발생합니다.

"There must be at least one certificate configured for a target proxy."

이 오류는 분리하려는 인증서 맵에 지정된 인증서 외에 대상 프록시에 할당된 인증서가 없는 경우에 발생합니다. 맵을 분리하려면 먼저 하나 이상의 인증서를 프록시에 직접 할당하세요.

인증서 맵 항목을 인증서와 연결할 때 오류 발생

인증서 맵 항목을 인증서와 연결할 때 다음 오류가 발생합니다.

"certificate can't be used more than 100 times"

이 오류는 이미 100개의 인증서 맵 항목과 연결된 인증서를 인증서 맵 항목과 연결하려고 할 때 발생합니다. 문제를 해결하려면 다음을 수행합니다.

Google 관리 인증서의 경우 다른 인증서를 만듭니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.
자체 관리형 인증서의 경우 새 이름으로 인증서를 다시 업로드합니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.

CA 서비스 인스턴스에서 발급한 인증서 관련 문제

이 섹션에서는 인증서 관리자를 사용하여 CA 서비스 인스턴스에서 발급한 Google 관리형 인증서를 배포할 때 발생할 수 있는 가장 일반적인 오류와 가능한 원인을 설명합니다.

Failed to create Certificate Issuance Config resources 오류가 발생하면 다음을 확인하세요.

전체 기간. 유효한 인증서 수명 기간 값은 21~30일입니다.
순환 기간 비율. 유효한 순환 기간 비율은 1~99%입니다. 인증서 발급 후 최소 7일이 지나고 만료되기 최소 7일 전에 인증서가 갱신되도록 인증서 수명과 관련하여 순환 기간 비율을 설정해야 합니다.
키 알고리즘. 유효한 키 알고리즘 값은 RSA_2048 및 ECDSA_P256입니다.
CA 풀. CA 풀이 없거나 잘못 구성되었습니다. CA 풀에는 사용 설정된 CA가 하나 이상 포함되어야 하며 호출자는 대상Google Cloud 프로젝트에 대한 privateca.capools.use 권한이 있어야 합니다. 리전 인증서의 경우 CA 풀과 동일한 위치에서 인증서 발급 구성 리소스를 만들어야 합니다.

Failed to create a managed certificate 오류가 발생하면 다음을 확인하세요.

인증서를 만들 때 지정한 인증서 발급 구성 리소스가 있습니다.
호출자가 인증서를 만들 때 지정한 인증서 발급 구성 리소스에 대한 certificatemanager.certissuanceconfigs.use 권한을 갖고 있습니다.
인증서가 인증서 발급 구성 리소스와 동일한 위치에 있습니다.

Failed to renew certificate 또는 Failed to provision certificate 오류가 발생하면 다음을 확인하세요.

인증서 관리자 서비스 계정이 이 인증서에 사용된 인증서 발급 구성 리소스에서 지정된 CA 풀에 대한 roles/privateca.certificateRequester 권한을 갖고 있습니다.

다음 명령어를 사용하여 대상 CA 풀의 권한을 확인합니다.
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
다음을 바꿉니다.
- CA_POOL: 대상 CA 풀의 전체 리소스 경로 및 이름입니다.
- REGION: 대상 Google Cloud 리전
인증서 발급 정책이 적용됩니다. 자세한 내용은 발급 정책 제한사항 관련 문제를 참조하세요.

발급 정책 제한 관련 문제

인증서 관리자가 인증서 발급 정책으로 발생된 인증서 변경사항을 지원하지 않는 경우 인증서 프로비저닝이 실패하고 관리형 인증서 상태가 Failed로 변경됩니다. 이 문제를 해결하려면 다음을 확인하세요.

인증서의 ID 제약조건이 주체 및 주체 대체 이름(SAN) 패스 스루를 허용합니다.
인증서의 최대 수명 기간 제약조건이 인증서 발급 구성 리소스의 수명 기간보다 큽니다.

앞의 문제의 경우 CA 서비스가 이미 인증서를 발급했으므로 CA 서비스 가격 책정에 따라 요금이 청구됩니다.

Rejected for issuing certificates from the configured CA Pool 오류가 발생하는 경우 이는 인증서 발급 정책이 요청된 인증서를 차단했음을 나타냅니다. 오류를 해결하려면 다음을 확인하세요.

인증서의 발급 모드가 인증서 서명 요청(CSR)을 허용합니다.
허용된 키 유형이 사용 중인 인증서 발급 구성 리소스의 키 알고리즘과 호환됩니다.

앞의 문제의 경우 CA 서비스가 인증서를 발급하지 않았기 때문에 CA 서비스로 요금이 청구되지 않습니다.

IAP 호스트 이름 일치 관련 문제

Identity-Aware Proxy(IAP)와 함께 인증서 관리자를 사용할 때 예기치 않게 The host name provided does not match the SSL certificate on the server 오류가 발생하면 해당 호스트 이름에 유효한 인증서를 사용하고 있는지 확인하세요. 또한 인증서 맵에서 구성한 인증서 맵 항목을 나열합니다. IAP와 함께 사용할 모든 호스트 이름 또는 와일드 카드 호스트 이름에는 전용 항목이 있어야 합니다. 호스트 이름의 인증서 맵 항목이 없으면 인증서 맵 항목을 만듭니다.

인증서 선택 중에 기본 인증서 맵 항목으로 대체되는 요청은 항상 IAP에서 거부됩니다.

다중 관점 도메인 검증 실패

Google Cloud 는 인증 기관(CA)에 요청하여 Google 관리형 인증서를 주기적으로 갱신합니다.Google Cloud 가 인증서를 갱신하기 위해 사용하는 CA는 다중 관점 발급 확인(MPIC)이라는 다중 관점 도메인 검증 방법을 사용합니다. 이 프로세스의 일환으로 인증 기관은 도메인의 DNS 설정을 확인하고 부하 분산기 승인의 경우 도메인의 IP 주소 뒤에 있는 서버에 연결을 시도하여 도메인 제어를 확인합니다. 이러한 확인 작업은 인터넷상의 다양한 위치에서 수행됩니다. 검증 프로세스가 실패하면 Google 관리형 인증서가 갱신되지 않습니다. 따라서 부하 분산기가 만료된 인증서를 클라이언트에 제공하여 브라우저 사용자는 인증서 오류가 발생하고 API 클라이언트는 연결 실패가 발생합니다.

구성이 잘못된 DNS 레코드의 다중 관점 도메인 검증 실패를 방지하려면 다음 사항에 유의하세요.

도메인과 모든 하위 도메인의 DNS A 레코드(IPv4) 및 DNS AAAA 레코드(IPv6)가 부하 분산기의 전달 규칙과 연결된 IP 주소만 가리킵니다. 레코드에 다른 주소가 있으면 검증이 실패할 수 있습니다.
DNS 레코드의 검증을 실행하는 CA는 여러 위치의 DNS 레코드를 쿼리합니다. DNS 제공업체가 모든 글로벌 도메인 검증 요청에 일관되게 응답하는지 확인합니다.
GeoDNS(요청 위치에 따라 다른 IP 주소 반환) 또는 위치 기반 DNS 정책을 사용하면 응답이 일관되지 않고 검증이 실패할 수 있습니다. DNS 제공업체에서 GeoDNS를 사용하는 경우 이를 사용 중지하거나 모든 지역에서 동일한 부하 분산기의 IP 주소를 반환하는지 확인합니다.
부하 분산기 승인 메서드를 사용하여 Google 관리형 인증서를 프로비저닝하는 경우 DNS 구성에서 부하 분산기의 IP 주소를 명시적으로 지정해야 합니다. CDN과 같은 중간 레이어로 인해 예측할 수 없는 동작이 발생할 수 있습니다. IP 주소는 요청 경로에 리디렉션, 방화벽 또는 CDN 없이 직접 액세스할 수 있어야 합니다. 자세한 내용은 이 문서의 CDN 뒤의 부하 분산기 섹션을 참고하세요.
원하는 DNS 전역 전파 검사기를 사용하여 전 세계에서 모든 관련 DNS 레코드가 올바르고 일관되게 확인되는지 확인하는 것이 좋습니다.

구성 변경사항 확인

DNS 레코드를 구성한 후 새 인증서를 만들고 기존 인증서와 함께 부하 분산기에 연결하여 DNS 레코드가 올바른지 확인할 수 있습니다. 이 단계에서는 CA에 인증서 프로비저닝을 즉시 확인하여 몇 분 안에 구성 변경 사항을 확인할 수 있습니다. 이 작업을 하지 않으면 기존 인증서의 자동 갱신이 며칠 또는 몇 주가 걸릴 수 있으며 설정에 대한 불확실성이 생길 수 있습니다.

인증서 상태가 ACTIVE가 되면 인증서가 발급되었음을 나타내므로 DNS 구성이 올바른지 확인할 수 있습니다. 이 시점에서 동일한 도메인에 대해 별도의 인증서가 두 개 있는 것을 방지하기 위해 이전 인증서를 삭제하는 것이 좋습니다. 이 프로세스는 부하 분산기로의 트래픽을 중단하지 않습니다.

새 인증서는 검증 도구로 사용됩니다. 인증서가 생성되면 MPIC를 사용한 다각도 도메인 검증이 설정에 올바르게 작동하는지 확인할 수 있습니다.

CDN 뒤의 부하 분산기

CDN이 사용 설정된 부하 분산기의 경우, 요청 경로에 있는 일부 서드 파티 CDN 제공업체로 인해 검증 요청이 성공하지 못할 수 있습니다. CDN 제공업체가 HTTP(S) 트래픽을 적극적으로 프록시하는 경우 발생할 수 있습니다.

이 경우 DNS 승인 메서드를 사용하여 Google 관리형 인증서를 프로비저닝하는 것이 좋습니다. 후자의 접근 방식은 CA가 부하 분산기에 연결할 필요가 없습니다.