Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvi i problemi del provider OIDC

Questo documento fornisce indicazioni per la risoluzione dei problemi relativi al provider di identità OIDC e Azure AD nel servizio di identità GKE.

Formattazione non corretta del certificato

Questo problema si verifica quando il valore del certificato contiene errori di formattazione. Formattazione I problemi possono corrispondere a valori di certificato che non sono codificati in Base64 e valori codificati in base64 ma non corretti. Il problema può verificarsi anche se il certificato non è firmato da un'autorità di certificazione radice o non viene fornita una catena di attendibilità formattata correttamente.

Messaggi di errore

Di seguito sono riportati alcuni esempi di messaggi di errore per scenari in cui il formato del certificato non è corretto:

Certificato non codificato in base64: Failed creating HTTP client to fetch the Discovery URI "<Discovery-document URI>" with error: Unable to decode data field, the value should be Base64 encoded
Certificato non formattato correttamente o codificato in Base64, ma errato: Unable to connect to 'https://example.com', encountered the following error: Problem with the SSL CA cert (path? access rights?). Details: error setting certificate verify locations: CAfile: /tmp/example.pem CApath: none (The certificate could not be read, this is most likely because it's empty or contains a formatting error. Please check your configuration.)
Certificato non formattato correttamente o codificato in Base64, ma errato: Failed fetching the Discovery URI "<Discovery-document URI>" with error: Unable to load TLS certificates.

Soluzione

Puoi risolvere i problemi in uno dei seguenti modi:

Il valore del certificato specificato in ClientConfig deve essere una stringa con codifica Base64 e una stringa in formato PEM. Per ulteriori informazioni, consulta la sezione Codificare i certificati CA.
Se il tuo provider non utilizza certificati firmati da un'autorità di certificazione radice, devi configurare GKE Identity Service con una catena di attendibilità dei certificati. Per maggiori informazioni, consulta la sezione Certificati intermedi.

Valore certificato errato

Questo problema si verifica quando il valore del certificato non corrisponde. In questo caso, la formattazione dei certificati è corretta, ma non corrispondono a quella del server. Può anche indicare che non erano presenti certificati nella configurazione.

Il valore di un certificato può essere considerato non corretto in uno dei seguenti scenari:

In ClientConfig è condiviso un valore di certificato errato. Il valore di un certificato non è corretto quando il valore issuer del certificato del server non corrisponde al valore subject del certificato configurato.
Il certificato in ClientConfig non è una stringa codificata in base64.
La catena di certificati non viene fornita se vengono utilizzati certificati intermedi per emettere il certificato del server.

Messaggio di errore

Di seguito sono riportati alcuni esempi di messaggi di errore relativi agli scenari in cui il valore del certificato non corrisponde:

La catena di certificati non è completa o non corrisponde al server: SSL peer certificate was not OK. Details: SSL certificate problem: unable to get local issuer certificate
La catena di certificati non è completa (corrisponde a una catena parziale non valida che non inizia alla radice o non è contigua): Failed fetching the Discovery URI "<Discovery-document URI>" with error: The server's TLS certificate did not match expectations.
La catena di certificati è valida, ma non corrisponde al server OIDC: AIS was expecting the server to have a different certificate
La catena di certificati è valida, ma non corrisponde al server OIDC: Failed fetching the Discovery URI "<Discovery-document URI>" with error: The server's TLS certificate did not match expectations.

Soluzione

Il valore del certificato fornito in ClientConfig deve includere una catena di certificati correttamente formattata che corrisponda al provider di identità. Per ulteriori informazioni su come formattare e codificare i certificati, consulta Codifica dei certificati CA.