Le procedure per la risoluzione dei problemi variano a seconda che utilizzi certificati SSL gestiti da Google o autogestiti.
Risolvere i problemi relativi ai certificati gestiti da Google
Per i certificati gestiti da Google, esistono due tipi di stato:
- Stato gestito
- Stato dominio
Stato gestito
Per controllare lo stato del certificato, esegui questo comando:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global \ --format="get(name,managed.status)"
I valori per lo stato gestito sono i seguenti:
Stato gestito | Spiegazione |
---|---|
PROVISIONING |
Il certificato gestito da Google è stato creato e Google Cloud sta collaborando con l'autorità di certificazione per firmarlo. Il provisioning di un certificato gestito da Google potrebbe richiedere fino a 60 minuti dal momento in cui le modifiche alla configurazione del DNS e del bilanciatore del carico sono state propagate su internet. Se hai aggiornato la configurazione DNS di recente, la propagazione completa delle modifiche potrebbe richiedere molto tempo. A volte la propagazione richiede fino a 72 ore in tutto il mondo, anche se in genere richiede alcune ore. Per maggiori informazioni sulla propagazione del DNS, consulta Propagazione delle modifiche. Se il certificato rimane nello stato |
ACTIVE |
Il certificato SSL gestito da Google è ottenuto dall'autorità di certificazione. Potrebbero essere necessari altri 30 minuti prima che sia disponibile per l'utilizzo da parte di un bilanciatore del carico. |
PROVISIONING_FAILED |
Potresti visualizzare brevemente PROVISIONING_FAILED anche se il tuo
certificato è in realtà ACTIVE .
Ricontrolla lo stato. Se lo stato rimane PROVISIONING_FAILED , il certificato gestito da Google è stato
creato, ma l'autorità di certificazione non può firmarlo. Assicurati di aver completato tutti i passaggi descritti in Utilizzo dei certificati SSL gestiti da Google. Google Cloud riprova il provisioning finché l'operazione non va a buon fine o lo stato passa a PROVISIONING_FAILED_PERMANENTLY .
|
PROVISIONING_FAILED_PERMANENTLY |
Il certificato gestito da Google è stato creato, ma l'autorità di certificazione non può firmarlo a causa di un problema di configurazione del DNS o del bilanciatore del carico. In questo stato, Google Cloud non riprova il provisioning. Crea un certificato SSL sostitutivo gestito da Google e assicurati che la sostituzione sia associata al proxy di destinazione del bilanciatore del carico. Verifica o completa tutti i passaggi descritti in Utilizzo dei certificati SSL gestiti da Google. Successivamente, potrai eliminare il certificato che non ha superato il provisioning permanente. |
RENEWAL_FAILED |
Il rinnovo del certificato gestito da Google non è riuscito a causa di un problema con il bilanciatore del carico o la configurazione DNS. Se uno o più domini o sottodomini in un certificato gestito non puntano all'indirizzo IP del bilanciatore del carico utilizzando un record A/AAAA, il processo di rinnovo non va a buon fine. Il certificato esistente continua a essere valido, ma scadrà a breve. Controlla la configurazione. Se lo stato rimane Per maggiori informazioni sul rinnovo del certificato, consulta la pagina relativa al rinnovo del certificato SSL gestito da Google. |
Stato dominio
Per controllare lo stato del dominio, esegui questo comando:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global \ --format="get(managed.domainStatus)"
I valori relativi allo stato del dominio sono descritti in questa tabella.
Stato dominio | Spiegazione |
---|---|
PROVISIONING |
Per il dominio viene creato il certificato gestito da Google. Google Cloud sta collaborando con l'autorità di certificazione per firmare il certificato. |
ACTIVE |
Il dominio è stato convalidato per il provisioning del certificato. Se il certificato SSL riguarda più domini, è possibile eseguire il provisioning del certificato solo quando tutti i domini hanno lo stato ACTIVE e anche lo stato gestito del certificato è ACTIVE .
|
FAILED_NOT_VISIBLE |
Il provisioning del certificato non è stato completato per il dominio. Il problema potrebbe essere uno dei seguenti:
PROVISIONING , Google Cloud continua a riprovare a eseguire il provisioning, anche se lo stato del dominio è FAILED_NOT_VISIBLE .
|
FAILED_CAA_CHECKING |
Il provisioning del certificato non è riuscito a causa di un problema di configurazione con il record CAA del tuo dominio. Assicurati di aver seguito la procedura corretta. |
FAILED_CAA_FORBIDDEN |
Il provisioning del certificato non è riuscito perché il record CAA del tuo dominio non specifica una CA che Google Cloud deve utilizzare. Assicurati di aver seguito la procedura corretta. |
FAILED_RATE_LIMITED |
Il provisioning del certificato non è riuscito perché un'autorità di certificazione ha richieste di firma dei certificati con limitazioni di frequenza. Puoi eseguire il provisioning di un nuovo certificato, passare al nuovo certificato ed eliminare quello precedente oppure puoi contattare l'assistenza Google Cloud. |
Rinnovo del certificato gestito
Se uno dei domini o sottodomini in un certificato gestito non punta all'indirizzo IP del bilanciatore del carico, il processo di rinnovo non va a buon fine. Per evitare che il rinnovo non vada a buon fine, assicurati che tutti i domini e i sottodomini indirizzino all'indirizzo IP del bilanciatore del carico.
Risoluzione dei problemi relativi ai certificati SSL autogestiti
Questa guida descrive come risolvere i problemi di configurazione dei certificati SSL autogestiti.
Impossibile analizzare il certificato
Google Cloud richiede certificati in formato PEM. Se il certificato è in formato PEM, verifica quanto segue:
Puoi convalidare il tuo certificato utilizzando il seguente comando OpenSSL, sostituendo CERTIFICATE_FILE
con il percorso del file del certificato:
openssl x509 -in CERTIFICATE_FILE -text -noout
Se OpenSSL non è in grado di analizzare il certificato:
- Contatta l'autorità di certificazione per assistenza.
- Crea una nuova chiave privata e un nuovo certificato.
Nome comune o nome alternativo del soggetto mancante
Google Cloud richiede che il certificato abbia o un attributo nome comune (CN
) o nome alternativo del soggetto (SAN
). Per ulteriori informazioni, vedi Creare una richiesta di firma del certificato Google.
Quando entrambi gli attributi non sono presenti, Google Cloud visualizza un messaggio di errore come il seguente quando provi a creare un certificato autogestito:
ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
- The SSL certificate is missing a Common Name(CN) or Subject Alternative
Name(SAN).
Impossibile analizzare la chiave privata
Google Cloud richiede chiavi private in formato PEM che soddisfino i criteri delle chiavi private.
Puoi convalidare la tua chiave privata utilizzando il seguente comando OpenSSL, sostituendo PRIVATE_KEY_FILE
con il percorso della tua chiave privata:
openssl rsa -in PRIVATE_KEY_FILE -check
Le seguenti risposte indicano un problema con la tua chiave privata:
unable to load Private Key
Expecting: ANY PRIVATE KEY
RSA key error: n does not equal p q
RSA key error: d e not congruent to 1
RSA key error: dmp1 not congruent to d
RSA key error: dmq1 not congruent to d
RSA key error: iqmp not inverse of q
Per risolvere il problema, devi creare una nuova chiave privata e un nuovo certificato.
Chiavi private con passphrase
Se OpenSSL richiede una passphrase, dovrai rimuovere la passphrase dalla chiave privata prima di poterla utilizzare con Google Cloud. Puoi utilizzare il seguente comando OpenSSL:
openssl rsa -in PRIVATE_KEY_FILE \ -out REPLACEMENT_PRIVATE_KEY_FILE
Sostituisci i segnaposto con valori validi:
PRIVATE_KEY_FILE
: il percorso della chiave privata protetta con una passphraseREPLACEMENT_PRIVATE_KEY_FILE
: il percorso in cui vuoi salvare una copia della chiave privata in testo normale
Certificati intermedi in scadenza
Se un certificato intermedio scade prima del certificato del server (leaf), è possibile che la tua CA non segua le best practice.
Quando un certificato intermedio scade, il certificato foglia utilizzato in Google Cloud potrebbe non essere più valido. L'operazione dipende dal client SSL, come segue:
- Alcuni client SSL controllano solo la scadenza del certificato foglia e ignorano i certificati intermedi scaduti.
- Alcuni client SSL considerano non validi una catena con certificati intermedi scaduti e visualizzano un avviso.
Per risolvere il problema:
- Attendi che la CA passi a un nuovo certificato intermedio.
- Richiedi un nuovo certificato.
- Ricarica il nuovo certificato con le nuove chiavi.
La tua CA potrebbe anche consentire la firma incrociata per i certificati intermedi. Verifica con la tua CA.
L'esponente pubblico RSA è troppo grande
Il seguente messaggio di errore viene visualizzato quando l'esponente pubblico RSA supera
65537. Assicurati di utilizzare 65537
, come specificato in RFC 4871.
ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
- The RSA public exponent is too large.
Rimuovi il certificato SSL da target-proxy
I passaggi seguenti mostrano come rimuovere un singolo certificato SSL collegato al proxy https di destinazione:
Esporta il target-https-proxy in un file temporaneo.
gcloud compute target-https-proxies export TARGET_PROXY_NAME > /tmp/proxy
Modifica il file
/tmp/proxy
e rimuovi le seguenti righe:sslCertificates: - https://www.googleapis.com/compute/v1/projects/...
Importa il file
/tmp/proxy
.gcloud compute target-https-proxies import TARGET_PROXY_NAME \ --source=/tmp/proxy
Facoltativo: elimina il certificato SSL.
gcloud compute ssl-certificates delete SSL_CERT_NAME
Sostituisci quanto segue:
TARGET_PROXY_NAME
: il nome della risorsa proxy https di destinazione.SSL_CERT_NAME
: il nome del certificato SSL.