Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvi i problemi del provider OIDC

Questo documento fornisce indicazioni per la risoluzione dei problemi relativi ai provider di identità OIDC e Azure AD in GKE Identity Service.

Formattazione non corretta del certificato

Questo problema si verifica quando il valore del certificato contiene errori di formattazione. I problemi di formattazione possono corrispondere a valori dei certificati non codificati in base64 e a valori codificati in base64 ma errati. Questo problema può verificarsi anche se il certificato non è firmato da un'autorità di certificazione principale o se non viene fornita una catena di attendibilità formattata correttamente.

Messaggi di errore

Di seguito sono riportati alcuni esempi di messaggi di errore che si riferiscono a casi in cui il formato del certificato non è corretto:

Certificato non codificato in base64: Failed creating HTTP client to fetch the Discovery URI "<Discovery-document URI>" with error: Unable to decode data field, the value should be Base64 encoded
Certificato non formattato correttamente o codificato in base64, ma non corretto: Unable to connect to 'https://example.com', encountered the following error: Problem with the SSL CA cert (path? access rights?). Details: error setting certificate verify locations: CAfile: /tmp/example.pem CApath: none (The certificate could not be read, this is most likely because it's empty or contains a formatting error. Please check your configuration.)
Certificato non formattato correttamente o codificato in base64, ma non corretto: Failed fetching the Discovery URI "<Discovery-document URI>" with error: Unable to load TLS certificates.

Soluzione

Puoi risolvere i problemi in uno dei seguenti modi:

Il valore del certificato fornito in ClientConfig deve essere una stringa con codifica Base64 e una stringa in formato PEM. Per ulteriori informazioni, consulta la sezione Codificare i certificati CA.
Se il tuo provider non utilizza certificati firmati da un'autorità di certificazione principale, devi configurare GKE Identity Service con una catena di attendibilità dei certificati. Per saperne di più, consulta l'articolo Certificati intermedi.

Valore del certificato errato

Questo problema si verifica quando il valore del certificato non corrisponde. In questo caso la formattazione dei certificati è corretta, ma non corrispondono al server. Può anche indicare che la configurazione non conteneva alcun certificato.

Il valore di un certificato può essere considerato non corretto in uno dei seguenti scenari:

In ClientConfig viene condiviso un valore del certificato errato. Un valore del certificato è errato quando il issuer del certificato del server non corrisponde al valore subject del certificato configurato.
Il certificato in ClientConfig non è una stringa codificata in Base64.
La catena di certificati non viene fornita quando vengono utilizzati certificati intermedi per rilasciare il certificato del server.

Messaggio di errore

Di seguito sono riportati alcuni esempi di messaggi di errore relativi a scenari in cui esiste una mancata corrispondenza nel valore del certificato:

La catena di certificati non è completa o non corrisponde al server: SSL peer certificate was not OK. Details: SSL certificate problem: unable to get local issuer certificate
La catena di certificati non è completa (corrisponde a una catena parziale non valida che non inizia nella directory principale o non è contigua): Failed fetching the Discovery URI "<Discovery-document URI>" with error: The server's TLS certificate did not match expectations.
La catena di certificati è valida, ma non corrisponde al server OIDC: AIS was expecting the server to have a different certificate
La catena di certificati è valida, ma non corrisponde al server OIDC: Failed fetching the Discovery URI "<Discovery-document URI>" with error: The server's TLS certificate did not match expectations.

Soluzione

Il valore del certificato che fornisci in ClientConfig deve includere una catena di certificati formattata correttamente che corrisponde al provider di identità. Per ulteriori informazioni su come formattare e codificare i certificati, consulta l'articolo Codificare i certificati CA.