Résoudre les problèmes liés aux certificats SSL

Les procédures de dépannage diffèrent selon que vous utilisez des certificats SSL gérés par Google ou des certificats SSL autogérés.

Résoudre les problèmes liés aux certificats gérés par Google

État du certificat SSL géré par Google

Pour vérifier l'état du certificat, exécutez la commande suivante :

gcloud beta compute ssl-certificates describe certificate-name \
    --global \
    --format="get(name,managed.status)"

Les valeurs de l'état géré sont les suivantes :

État géré Explication
PROVISIONING Le certificat géré par Google a bien été créé et Google Cloud travaille sur sa signature en collaboration avec l'autorité de certification.
Le provisionnement d'un certificat géré par Google peut prendre jusqu'à 60 minutes.

Si le certificat reste à l'état de PROVISIONNEMENT, assurez-vous que le bon certificat est associé au proxy cible. Vous pouvez le vérifier en exécutant la commande gcloud compute target-https-proxies describe ou gcloud compute target-ssl-proxies describe.
ACTIVE L'autorité de certification a récupéré le certificat SSL géré par Google. Un délai de 30 minutes supplémentaires peut s'écouler avant que l'équilibreur de charge ne puisse se servir du certificat.
PROVISIONING_FAILED PROVISIONING_FAILED peut s'afficher brièvement, même si l'état réel de votre certificat est ACTIVE. Revérifiez l'état. Si l'état PROVISIONING_FAILED demeure :

Le certificat géré par Google a bien été créé, mais l'autorité de certification ne parvient pas à le signer. Assurez-vous d'avoir bien suivi toutes les étapes de la page Utiliser des certificats SSL gérés par Google. Google Cloud effectue de nouvelles tentatives de provisionnement jusqu'à ce qu'il soit réussi ou que le statut passe à PROVISIONING_FAILED_PERMANENTLY.
PROVISIONING_FAILED_PERMANENTLY Le certificat géré par Google a bien été créé, mais l'autorité de certification ne parvient pas à le signer en raison d'un problème de configuration DNS ou d'équilibrage de charge. Dans cet état, Google Cloud ne réitère pas la tentative de provisionnement.

Créez un certificat SSL de remplacement géré par Google et assurez-vous que celui-ci est associé au proxy cible de votre équilibreur de charge. Assurez-vous d'avoir bien suivi toutes les étapes de la page Utiliser des certificats SSL gérés par Google. Vous pouvez ensuite supprimer le certificat dont le provisionnement a définitivement échoué.

État du domaine du certificat SSL géré par Google

Pour vérifier l'état du domaine, exécutez la commande suivante :

gcloud beta compute ssl-certificates describe certificate-name \
    --global \
    --format="get(managed.domainStatus)"

Ce tableau répertorie les valeurs de l'état du domaine.

État du domaine Explication
PROVISIONING Le certificat géré par Google a bien été créé pour le domaine. Google Cloud travaille sur sa signature en collaboration avec l'autorité de certification.
Le provisionnement d'un certificat géré par Google peut prendre jusqu'à 60 minutes.
ACTIVE L'autorité de certification a récupéré le certificat SSL géré par Google. Le provisionnement est terminé pour ce domaine. Un délai de 30 minutes supplémentaires peut s'écouler avant que l'équilibreur de charge ne puisse se servir du certificat.
FAILED_NOT_VISIBLE Le provisionnement du certificat pour le domaine a échoué. L'un des éléments suivants peut être à l'origine du problème : Tant que l'état géré est PROVISIONING, Google Cloud tente de provisionner le certificat.
FAILED_CAA_CHECKING Le provisionnement du certificat a échoué en raison d'un problème de configuration de l'enregistrement CAA de votre domaine. Assurez-vous d'avoir terminé toutes les étapes de la page Utiliser des certificats SSL gérés par Google.
FAILED_CAA_FORBIDDEN Le provisionnement du certificat a échoué, car l'enregistrement CAA de votre domaine n'indique aucune autorité de certification que Google Cloud doit utiliser. Assurez-vous d'avoir terminé toutes les étapes de la page Utiliser des certificats SSL gérés par Google.
FAILED_RATE_LIMITED Le provisionnement des certificats a échoué, car une autorité de certification limite les requêtes de signature de certificat. Effectuez une nouvelle tentative de création de certificat SSL géré par Google ou contactez l'assistance Google Cloud.

Renouvellement de certificat géré par Google

Lorsque Google renouvelle un certificat géré comportant plusieurs domaines, si l'un des domaines ou sous-domaines ne pointe pas vers l'adresse IP de l'équilibreur de charge, le processus de renouvellement échoue. Une fois le certificat géré provisionné, assurez-vous que tous vos domaines et sous-domaines pointent toujours vers l'adresse IP de l'équilibreur de charge afin d'éviter l'échec du renouvellement.

Résoudre les problèmes liés aux certificats SSL autogérés

Impossible d'analyser le certificat

Google Cloud exige que les certificats soient au format PEM. Si le certificat est au format PEM, vérifiez les éléments suivants :

Vous pouvez valider votre certificat à l'aide de la commande OpenSSL suivante, en remplaçant certificate-file par le chemin d'accès au fichier de certificat :

openssl x509 -in certificate-file -text -noout

Si OpenSSL ne parvient pas à analyser votre certificat, procédez comme suit :

Nom courant ou autre nom d'objet manquant

Google Cloud requiert que votre certificat ait un nom courant (CN) ou un autre nom d'objet (SAN). Pour en savoir plus, consultez la section Créer une requête de signature de certificat.

En l'absence des deux attributs, Google Cloud affiche un message d'erreur du type suivant lorsque vous essayez de créer un certificat autogéré :

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Impossible d'analyser la clé privée

Google Cloud requiert l'utilisation de clés privées au format PEM respectant les critères de clé privée.

Vous pouvez valider votre clé privée à l'aide de la commande OpenSSL suivante, en remplaçant private-key-file par le chemin d'accès à la clé privée :

    openssl rsa -in private-key-file -check

Les réponses suivantes indiquent un problème avec la clé privée :

  • unable to load Private Key
  • Expecting: ANY PRIVATE KEY
  • RSA key error: n does not equal p q
  • RSA key error: d e not congruent to 1
  • RSA key error: dmp1 not congruent to d
  • RSA key error: dmq1 not congruent to d
  • RSA key error: iqmp not inverse of q

Pour résoudre le problème, vous devez créer une clé privée et un certificat.

Clés privées avec phrases secrètes

Si OpenSSL vous invite à saisir une phrase secrète, vous devez supprimer celle de votre clé privée avant de pouvoir l'utiliser avec Google Cloud. Vous pouvez exécuter la commande OpenSSL suivante :

openssl rsa -in private-key-file \
    -out replacement-private-key-file

Remplacez les espaces réservés par des valeurs valides :

  • private-key-file : chemin d'accès à la clé privée protégée par une phrase secrète
  • replacement-private-key-file : chemin d'accès au fichier dans lequel vous souhaitez enregistrer une copie de la clé privée en texte brut

Expiration des certificats intermédiaires

Si un certificat intermédiaire expire avant le certificat du serveur (feuille), cela peut indiquer que votre autorité de certification ne suit pas les bonnes pratiques.

Lorsqu'un certificat intermédiaire expire, le certificat du serveur utilisé dans Google Cloud peut devenir non valide. Cela dépend du client SSL, comme suit :

  • Certains clients SSL ne vérifient que le délai d'expiration du certificat du serveur et ignorent les certificats intermédiaires expirés.
  • Certains clients SSL traitent une chaîne avec un ou plusieurs certificats intermédiaires arrivés à expiration comme non valide et affichent un avertissement.

Pour remédier à ce problème :

  1. Attendez que l'autorité de certification bascule vers un nouveau certificat intermédiaire.
  2. Demandez un nouveau certificat à l'autorité de certification.
  3. Importez à nouveau le nouveau certificat avec les nouvelles clés.

L'autorité de certification peut également autoriser la signature croisée pour les certificats intermédiaires. Renseignez-vous auprès de votre autorité de certification.

L'exposant public RSA est trop volumineux.

Le message d'erreur suivant s'affiche lorsque l'exposant public RSA est supérieur à 65 537. Assurez-vous d'utiliser 65537, comme spécifié dans le document RFC 4871.

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The RSA public exponent is too large.