Résoudre les problèmes liés aux certificats SSL

Les procédures de dépannage diffèrent selon que vous utilisez des certificats SSL gérés par Google ou des certificats SSL autogérés.

Résoudre les problèmes liés aux certificats gérés par Google

Il existe deux types d'état pour les certificats gérés par Google :

État géré
État du domaine

État géré

Pour vérifier l'état du certificat, exécutez la commande suivante :

gcloud beta compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(name,managed.status)"

Les valeurs de l'état géré sont les suivantes :

État géré	Explication
`PROVISIONING`	Le certificat géré par Google a bien été créé et Google Cloud travaille sur sa signature en collaboration avec l'autorité de certification. Le provisionnement d'un certificat géré par Google peut prendre jusqu'à 60 minutes. Si le certificat reste à l'état de PROVISIONNEMENT, assurez-vous que le bon certificat est associé au proxy cible. Vous pouvez le vérifier en exécutant la commande `gcloud compute target-https-proxies describe` ou `gcloud compute target-ssl-proxies describe`.
`ACTIVE`	L'autorité de certification a récupéré le certificat SSL géré par Google. Un délai de 30 minutes supplémentaires peut s'écouler avant que l'équilibreur de charge ne puisse se servir du certificat.
`PROVISIONING_FAILED`	`PROVISIONING_FAILED` peut s'afficher brièvement, même si l'état réel de votre certificat est `ACTIVE`. Revérifiez l'état. Si l'état demeure `PROVISIONING_FAILED`, le certificat géré par Google a bien été créé, mais l'autorité de certification ne parvient pas à le signer. Assurez-vous d'avoir bien suivi toutes les étapes de la page Utiliser des certificats SSL gérés par Google. Google Cloud effectue de nouvelles tentatives de provisionnement jusqu'à ce que celui-ci soit réussi ou que le statut passe à `PROVISIONING_FAILED_PERMANENTLY`.
`PROVISIONING_FAILED_PERMANENTLY`	Le certificat géré par Google a bien été créé, mais l'autorité de certification ne parvient pas à le signer en raison d'un problème de configuration DNS ou d'équilibrage de charge. Dans cet état, Google Cloud ne réitère pas la tentative de provisionnement. Créez un certificat SSL de remplacement géré par Google et assurez-vous que celui-ci est associé au proxy cible de votre équilibreur de charge. Assurez-vous d'avoir bien suivi toutes les étapes de la page Utiliser des certificats SSL gérés par Google. Vous pouvez ensuite supprimer le certificat dont le provisionnement a définitivement échoué.
`RENEWAL_FAILED`	Le renouvellement du certificat géré par Google a échoué en raison d'un problème lié à l'équilibreur de charge ou à la configuration DNS. Si l'un des domaines ou sous-domaines d'un certificat géré ne pointe pas vers l'adresse IP de l'équilibreur de charge à l'aide d'un enregistrement A/AAAA, le processus de renouvellement échoue. Dans l'immédiat, le certificat existant peut toujours être diffusé, mais il arrivera à expiration sous peu. Vérifiez votre configuration. Si l'état reste défini sur `RENEWAL_FAILED`, provisionnez un nouveau certificat, forcez l'utilisation du nouveau certificat et supprimez l'ancien certificat. Pour plus d'informations sur le renouvellement des certificats, consultez la page Renouveler un certificat SSL géré par Google.

État du domaine

Pour vérifier l'état du domaine, exécutez la commande suivante :

gcloud beta compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(managed.domainStatus)"

Ce tableau répertorie les valeurs de l'état du domaine.

État du domaine	Explication
`PROVISIONING`	Le certificat géré par Google a bien été créé pour le domaine. Google Cloud travaille sur sa signature en collaboration avec l'autorité de certification. Le provisionnement d'un certificat géré par Google peut prendre jusqu'à 60 minutes.
`ACTIVE`	L'autorité de certification a récupéré le certificat SSL géré par Google. Le provisionnement est terminé pour ce domaine. Un délai de 30 minutes supplémentaires peut s'écouler avant que l'équilibreur de charge ne puisse se servir du certificat.
`FAILED_NOT_VISIBLE`	Le provisionnement du certificat n'est pas terminé pour ce domaine. L'un des éléments suivants peut être à l'origine du problème : L'enregistrement DNS du domaine ne correspond pas à l'adresse IP de l'équilibreur de charge Google Cloud. Pour résoudre ce problème, mettez à jour les enregistrements DNS A et AAAA pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge. Le DNS ne doit pas être associé à une autre adresse IP que celle de l'équilibreur de charge. Par exemple, si un enregistrement A est associé à l'équilibreur de charge approprié, mais que l'enregistrement AAAA est rattaché à un autre élément, l'état du domaine est `FAILED_NOT_VISIBLE`. La propagation complète des enregistrements DNS A et AAAA récemment mis à jour peut prendre beaucoup de temps. La propagation sur Internet peut parfois prendre jusqu'à 72 heures dans le monde entier, même si cela prend généralement quelques heures. L'état du domaine reste `FAILED_NOT_VISIBLE` jusqu'à la fin de la propagation. Le certificat SSL n'est pas rattaché au proxy cible de l'équilibreur de charge. Pour résoudre ce problème, mettez à jour la configuration de votre équilibreur de charge. Les ports d'interface de la règle de transfert globale n'incluent pas le port 443 pour un équilibreur de charge proxy SSL. Pour résoudre ce problème, ajoutez une nouvelle règle de transfert via le port 443. Si l'état géré est `PROVISIONING`, Google Cloud continue de réessayer le provisionnement, même si l'état du domaine est `FAILED_NOT_VISIBLE`.
`FAILED_CAA_CHECKING`	Le provisionnement du certificat a échoué en raison d'un problème de configuration de l'enregistrement CAA de votre domaine. Assurez-vous d'avoir suivi la procédure appropriée.
`FAILED_CAA_FORBIDDEN`	Le provisionnement du certificat a échoué, car l'enregistrement CAA de votre domaine n'indique aucune autorité de certification que Google Cloud doit utiliser. Assurez-vous d'avoir suivi la procédure appropriée.
`FAILED_RATE_LIMITED`	Le provisionnement des certificats a échoué, car une autorité de certification limite les requêtes de signature de certificat. Vous pouvez provisionner un nouveau certificat, passer à l'utilisation de ce nouveau certificat et supprimer l'ancien certificat, ou contacter l'assistance Google Cloud.

Renouvellement des certificats gérés

Si l'un des domaines ou sous-domaines d'un certificat géré ne pointe pas vers l'adresse IP de l'équilibreur de charge, le processus de renouvellement échoue. Pour éviter l'échec du renouvellement, assurez-vous que tous vos domaines et sous-domaines pointent vers l'adresse IP de l'équilibreur de charge.

Résoudre les problèmes liés aux certificats SSL autogérés

Impossible d'analyser le certificat

Google Cloud exige que les certificats soient au format PEM. Si le certificat est au format PEM, vérifiez les éléments suivants :

Vous pouvez valider votre certificat à l'aide de la commande OpenSSL suivante, en remplaçant CERTIFICATE_FILE par le chemin d'accès au fichier de certificat :

openssl x509 -in CERTIFICATE_FILE -text -noout

Si OpenSSL ne parvient pas à analyser votre certificat, procédez comme suit :

Contactez votre autorité de certification pour obtenir de l'aide.
Créez une clé privée et un certificat.

Nom courant ou autre nom d'objet manquant

Google Cloud requiert que votre certificat ait un nom courant (CN) ou un autre nom d'objet (SAN). Pour en savoir plus, consultez la section Créer une requête de signature de certificat.

En l'absence des deux attributs, Google Cloud affiche un message d'erreur du type suivant lorsque vous essayez de créer un certificat autogéré :

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Impossible d'analyser la clé privée

Google Cloud requiert l'utilisation de clés privées au format PEM respectant les critères de clé privée.

Vous pouvez valider votre clé privée à l'aide de la commande OpenSSL suivante, en remplaçant PRIVATE_KEY_FILE par le chemin d'accès à la clé privée :

    openssl rsa -in PRIVATE_KEY_FILE -check

Les réponses suivantes indiquent un problème avec la clé privée :

unable to load Private Key
Expecting: ANY PRIVATE KEY
RSA key error: n does not equal p q
RSA key error: d e not congruent to 1
RSA key error: dmp1 not congruent to d
RSA key error: dmq1 not congruent to d
RSA key error: iqmp not inverse of q

Pour résoudre le problème, vous devez créer une clé privée et un certificat.

Clés privées avec phrases secrètes

Si OpenSSL vous invite à saisir une phrase secrète, vous devez supprimer celle de votre clé privée avant de pouvoir l'utiliser avec Google Cloud. Vous pouvez exécuter la commande OpenSSL suivante :

openssl rsa -in PRIVATE_KEY_FILE \
    -out REPLACEMENT_PRIVATE_KEY_FILE

Remplacez les espaces réservés par des valeurs valides :

PRIVATE_KEY_FILE : chemin d'accès à la clé privée protégée par une phrase secrète
REPLACEMENT_PRIVATE_KEY_FILE : chemin d'accès au fichier dans lequel vous souhaitez enregistrer une copie de la clé privée en texte brut

Expiration des certificats intermédiaires

Si un certificat intermédiaire expire avant le certificat du serveur (feuille), cela peut indiquer que votre autorité de certification ne suit pas les bonnes pratiques.

Lorsqu'un certificat intermédiaire expire, le certificat du serveur utilisé dans Google Cloud peut devenir non valide. Cela dépend du client SSL, comme suit :

Certains clients SSL ne vérifient que le délai d'expiration du certificat du serveur et ignorent les certificats intermédiaires expirés.
Certains clients SSL traitent une chaîne avec un ou plusieurs certificats intermédiaires arrivés à expiration comme non valide et affichent un avertissement.

Pour remédier à ce problème :

Attendez que l'autorité de certification bascule vers un nouveau certificat intermédiaire.
Demandez un nouveau certificat à l'autorité de certification.
Importez à nouveau le nouveau certificat avec les nouvelles clés.

L'autorité de certification peut également autoriser la signature croisée pour les certificats intermédiaires. Renseignez-vous auprès de votre autorité de certification.

L'exposant public RSA est trop grand

Le message d'erreur suivant s'affiche lorsque l'exposant public RSA est supérieur à 65 537. Assurez-vous d'utiliser 65537, comme spécifié dans le document RFC 4871.

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The RSA public exponent is too large.