Questa pagina è stata tradotta dall'API Cloud Translation.

Risoluzione dei problemi relativi ai certificati SSL

Le procedure per la risoluzione dei problemi variano a seconda che utilizzi certificati SSL gestiti da Google o autogestiti.

Risolvere i problemi relativi ai certificati gestiti da Google

Per i certificati gestiti da Google, esistono due tipi di stato:

Stato gestito
Stato dominio

Stato gestito

Per controllare lo stato del certificato, esegui il seguente comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(name,managed.status)"

I valori per lo stato gestito sono i seguenti:

Stato gestito	Spiegazione
`PROVISIONING`	Il certificato gestito da Google è stato creato e Google Cloud sta collaborando con l'autorità di certificazione per firmarlo. Il provisioning di un certificato gestito da Google potrebbe richiedere fino a 60 minuti dal momento in cui le modifiche alla configurazione del DNS e del bilanciatore del carico sono state propagate su internet. Se hai aggiornato di recente la configurazione DNS, potrebbe essere necessario molto tempo per la propagazione completa delle modifiche. A volte la propagazione richiede fino a 72 ore in tutto il mondo, anche se in genere sono necessarie poche ore. Per saperne di più sulla propagazione DNS, consulta Propagazione delle modifiche. Se il certificato rimane nello stato `PROVISIONING`, assicurati che il certificato corretto sia associato al proxy di destinazione. Per verificare, esegui il comando `gcloud compute target-https-proxies describe` o `gcloud compute target-ssl-proxies describe`.
`ACTIVE`	Il certificato SSL gestito da Google è ottenuto dall'autorità di certificazione. Potrebbero essere necessari altri 30 minuti disponibili per l'uso da parte di un bilanciatore del carico.
`PROVISIONING_FAILED`	Potresti vedere brevemente `PROVISIONING_FAILED` anche quando in realtà è `ACTIVE`. Ricontrolla lo stato. Se lo stato rimane `PROVISIONING_FAILED`, il certificato gestito da Google è stato creato, ma l'autorità di certificazione non può firmarlo. Assicurati di aver completato tutti i passaggi descritti in Utilizzo di certificati SSL gestiti da Google. e Nuovi tentativi in Google Cloud fino a quando non viene eseguito correttamente o lo stato `PROVISIONING_FAILED_PERMANENTLY`.
`PROVISIONING_FAILED_PERMANENTLY`	Il certificato gestito da Google è stato creato, ma l'autorità di certificazione non può firmarlo a causa di un problema con la configurazione DNS o del bilanciatore del carico. In questo stato, Google Cloud non riprova a eseguire il provisioning. Crea un certificato SSL sostitutivo gestito da Google e assicurati che che la sostituzione sia associata al proxy di destinazione del bilanciatore del carico. Verifica o completa tutti i passaggi in Utilizzo dei certificati SSL gestiti da Google In seguito, puoi eliminare il certificato il cui provisioning non è riuscito definitivamente.
`RENEWAL_FAILED`	Il rinnovo del certificato gestito da Google non è riuscito a causa di un problema con la configurazione DNS o del bilanciatore del carico. Se uno dei domini o sottodomini in un certificato gestito non punta all'indirizzo IP del bilanciatore del carico utilizzando un record A/AAAA, la procedura di rinnovo non va a buon fine. Il certificato esistente continua a essere pubblicato, ma scade a breve. Controlla la configurazione. Se lo stato rimane `RENEWAL_FAILED`, esegui il provisioning di un nuovo certificato, passa all'utilizzo del nuovo certificato ed elimina il certificato precedente. Per ulteriori informazioni sul rinnovo del certificato, vedi Rinnovo del certificato SSL gestito da Google.

Stato dominio

Per controllare lo stato del dominio, esegui il seguente comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(managed.domainStatus)"

I valori per lo stato del dominio sono descritti in questa tabella.

Stato dominio	Spiegazione
`PROVISIONING`	Il certificato gestito da Google viene creato per il dominio. Google Cloud sta collaborando con l'autorità di certificazione per firmare la certificato.
`ACTIVE`	Il dominio è stato convalidato per il provisioning del certificato. Se il certificato SSL è per più domini, il provisioning del certificato può essere eseguito solo quando tutti i domini hanno lo stato `ACTIVE` e anche lo stato gestito del certificato è `ACTIVE`.
`FAILED_NOT_VISIBLE`	Il provisioning del certificato non è stato completato per il dominio. Uno degli il problema potrebbe essere questo: Il record DNS del dominio non risolve nell'indirizzo IP del bilanciatore del carico Google Cloud. Per risolvere il problema, aggiorna i record DNS A e AAAA in modo che rimandino all'indirizzo IP del bilanciatore del carico. Il DNS non deve risolversi in nessun altro indirizzo IP diverso da dei bilanciatori del carico. Ad esempio, se un record A risolve nel bilanciatore del carico corretto, ma il record AAAA risolve in un altro valore, lo stato del dominio è `FAILED_NOT_VISIBLE`. La propagazione completa dei record DNS A e AAAA appena aggiornati può richiedere molto tempo. A volte la propagazione attraverso la connessione a internet impiega fino a 72 ore in tutto il mondo, anche se in genere per alcune ore. Lo stato del dominio rimane `FAILED_NOT_VISIBLE` fino al completamento della propagazione. Il certificato SSL non è collegato al proxy di destinazione del bilanciatore del carico. Per risolvere questo problema, aggiorna la configurazione del bilanciatore del carico. Le porte di frontend per la regola di forwarding globale non includono porta 443 per un bilanciatore del carico di rete proxy esterno con un proxy SSL. Il problema può essere risolto aggiungendo una nuova regola di inoltro con la porta 443. Una mappa di certificati del gestore certificati è collegata al proxy di destinazione. La mappa di certificati allegata ha la precedenza e i certificati collegati direttamente vengono ignorati. Il problema può essere risolto scollegando la mappa dei certificati dal proxy. Se lo stato gestito è `PROVISIONING`, Google Cloud continua a riprovare a eseguire il provisioning, anche se lo stato del dominio è `FAILED_NOT_VISIBLE`.
`FAILED_CAA_CHECKING`	Il provisioning del certificato non è riuscito a causa di un problema di configurazione con il record CAA del tuo dominio. Assicurati di aver seguito la procedura corretta.
`FAILED_CAA_FORBIDDEN`	Il provisioning del certificato non è riuscito perché il record CAA del dominio non specifica una CA che Google Cloud deve utilizzare. Assicurati di aver seguito la procedura corretta.
`FAILED_RATE_LIMITED`	Il provisioning del certificato non è riuscito perché un'autorità di certificazione ha con limitazioni di frequenza delle richieste di firma dei certificati. Puoi eseguire il provisioning di un nuovo certificato, passare all'utilizzo del nuovo certificato e eliminare il certificato precedente oppure contattare assistenza Google Cloud.

Rinnovo dei certificati gestiti

Se uno dei domini o sottodomini in un certificato gestito non punta a all'indirizzo IP del bilanciatore del carico oppure che rimandano a un IP insieme all'IP del bilanciatore del carico, il processo di rinnovo non va a buon fine. Per evitare il rinnovo in errore, assicurati che tutti i domini e i sottodomini indirizzino alla l'indirizzo IP del bilanciatore del carico.

Risolvere i problemi relativi ai certificati SSL autogestiti

Questa guida descrive come risolvere i problemi di configurazione per l'autogestito Certificati SSL.

Impossibile analizzare il certificato

Google Cloud richiede certificati in PEM standard. Se il certificato è in formato PEM, controlla quanto segue:

Puoi convalidare il certificato utilizzando il seguente comando OpenSSL, sostituendo CERTIFICATE_FILE con il percorso del file del certificato:

openssl x509 -in CERTIFICATE_FILE -text -noout

Se OpenSSL non è in grado di analizzare il certificato:

Per assistenza, contatta la tua CA.
Crea una nuova chiave privata e un nuovo certificato.

Nome comune mancante o nome alternativo del soggetto

Google Cloud richiede che il certificato abbia o un attributo nome comune (CN) o nome alternativo dell'oggetto (SAN). Consulta la sezione Creare un CSR per ulteriori informazioni.

Quando entrambi gli attributi sono assenti, Google Cloud visualizza un messaggio di errore come riportato di seguito quando provi a creare un account certificato:

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Impossibile analizzare la chiave privata

Google Cloud richiede chiavi private in formato PEM che soddisfino i criteri delle chiavi private.

Puoi convalidare la tua chiave privata utilizzando il seguente comando OpenSSL, sostituendo PRIVATE_KEY_FILE con il percorso della tua chiave privata:

    openssl rsa -in PRIVATE_KEY_FILE -check

Le seguenti risposte indicano un problema con la tua chiave privata:

unable to load Private Key
Expecting: ANY PRIVATE KEY
RSA key error: n does not equal p q
RSA key error: d e not congruent to 1
RSA key error: dmp1 not congruent to d
RSA key error: dmq1 not congruent to d
RSA key error: iqmp not inverse of q

Per risolvere il problema, devi creare una nuova chiave privata e certificato.

Chiavi private con passphrase

Se OpenSSL richiede una passphrase, dovrai rimuoverla dalla chiave privata prima di poterla utilizzare con Google Cloud. Puoi utilizzare il seguente comando OpenSSL:

openssl rsa -in PRIVATE_KEY_FILE \
    -out REPLACEMENT_PRIVATE_KEY_FILE

Sostituisci i segnaposto con valori validi:

PRIVATE_KEY_FILE: il percorso della chiave privata protetta con una passphrase
REPLACEMENT_PRIVATE_KEY_FILE: il percorso in cui vuoi salvare una copia della chiave privata in testo normale

Certificati intermedi in scadenza

Se un certificato intermedio scade prima del certificato del server (a livello di foglia), potrebbe indicare che la tua CA non segue le best practice.

Quando un certificato intermedio scade, il certificato finale utilizzato in Google Cloud potrebbe diventare non valido. Questo dipende dal client SSL, che segue:

Alcuni client SSL considerano solo l'ora di scadenza del certificato leaf e ignorano i certificati intermedi scaduti.
Alcuni client SSL trattano una catena con certificati intermedi scaduti non validi e mostreranno un avviso.

Per risolvere il problema:

Attendi che la CA passi a un nuovo certificato intermedio.
Richiedi un nuovo certificato al team.
Ricarica il nuovo certificato con le nuove chiavi.

La tua CA potrebbe anche consentire la firma tra certificati per i certificati intermedi. Verifica con la tua CA per confermare.

L'esponente pubblico RSA è troppo grande

Il seguente messaggio di errore viene visualizzato quando l'esponente pubblico RSA è maggiore di 65537. Assicurati di utilizzare 65537, come specificato in RFC 4871

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The RSA public exponent is too large.

Rimuovi certificato SSL da proxy-target

I passaggi che seguono mostrano come rimuovere un singolo certificato SSL associato al proxy https di destinazione:

Esporta il proxy https target in un file temporaneo.

gcloud compute target-https-proxies export TARGET_PROXY_NAME > /tmp/proxy

Modifica il file /tmp/proxy e rimuovi le seguenti righe:

sslCertificates:
-   https://www.googleapis.com/compute/v1/projects/...

Importa il file /tmp/proxy.

gcloud compute target-https-proxies import TARGET_PROXY_NAME \
   --source=/tmp/proxy

(Facoltativo) Elimina il certificato SSL.

gcloud compute ssl-certificates delete SSL_CERT_NAME

Sostituisci quanto segue:

TARGET_PROXY_NAME: il nome della risorsa proxy https di destinazione.
SSL_CERT_NAME: il nome del certificato SSL.