Solução de problemas de certificados SSL

Os procedimentos de solução de problemas são diferentes, dependendo se você estiver usando certificados SSL gerenciados pelo Google ou certificados SSL autogerenciados.

Solução de problemas de certificados gerenciados pelo Google

Para certificados gerenciados pelo Google, existem dois tipos de status:

  • Status gerenciado
  • Status do domínio

Status gerenciado

Para verificar o status do certificado, execute o comando a seguir:

gcloud beta compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(name,managed.status)"

Os valores para status gerenciado são os seguintes:

Status gerenciado Explicação
PROVISIONING O certificado gerenciado pelo Google foi criado e o Google Cloud está trabalhando com a autoridade de certificação para assiná-lo.
O provisionamento de um certificado gerenciado pelo Google pode levar até 60 minutos.

Se o certificado permanecer no estado PROVISIONING, confirme se o certificado correto está associado ao proxy de destino. Para verificar isso, execute o comando gcloud compute target-https-proxies describe ou gcloud compute target-ssl-proxies describe.
ACTIVE O certificado SSL gerenciado pelo Google é obtido da autoridade de certificação. Ele pode levar 30 minutos adicionais para ficar disponível e poder ser usado por um balanceador de carga.
PROVISIONING_FAILED É possível ver rapidamente PROVISIONING_FAILED mesmo se seu certificado estiver ACTIVE. Verifique novamente o status.

Se o status continuar PROVISIONING_FAILED o certificado gerenciado pelo Google foi criado, mas a autoridade de certificação não pode assiná-lo. Verifique se você concluiu todas as etapas em Como usar certificados SSL gerenciados pelo Google.

O Google Cloud tenta oferecer o provisionamento até ser bem-sucedido ou o status mudar para PROVISIONING_FAILED_PERMANENTLY.
PROVISIONING_FAILED_PERMANENTLY O certificado gerenciado pelo Google é criado, mas a autoridade de certificação não pode assiná-lo devido a um problema de configuração do DNS ou do balanceador de carga. Nesse estado, o Google Cloud não repete o provisionamento.

Crie um certificado de substituição SSL gerenciado pelo Google e verifique se a substituição está associada ao proxy de destino do seu balanceador de carga. Verifique ou conclua todas as etapas em Como usar certificados SSL gerenciados pelo Google. Em seguida, será possível excluir o certificado que falhou o provisionamento permanentemente.
RENEWAL_FAILED

Falha na renovação do certificado gerenciado pelo Google devido a um problema no balanceador de carga ou na configuração do DNS. Se algum dos domínios ou subdomínios em um certificado gerenciado não estiver apontando para o endereço IP do balanceador de carga, o processo de renovação falhará. O certificado atual continua sendo exibido, mas expira em breve. Verifique a configuração.

Se o status permanecer RENEWAL_FAILED, provisione um novo certificado, mude para o uso do novo certificado e exclua o antigo.

Para mais informações sobre a renovação de certificados, consulte Renovação do certificado SSL gerenciado pelo Google.

Status do domínio

Para verificar o status do domínio, execute o comando a seguir:

gcloud beta compute ssl-certificates describe CERTIFICATE_NAME \
    --global \
    --format="get(managed.domainStatus)"

Os valores para status de domínio estão descritos nesta tabela.

Status do domínio Explicação
PROVISIONING O certificado gerenciado pelo Google é criado para o domínio. O Google Cloud está trabalhando com a autoridade de certificação para assinar o certificado.
O provisionamento de um certificado gerenciado pelo Google pode levar até 60 minutos.
ACTIVE O certificado SSL gerenciado pelo Google é obtido da autoridade de certificação. O provisionamento deste domínio está concluído. Pode demorar 30 minutos adicionais para que o certificado fique disponível para uso por um balanceador de carga.
FAILED_NOT_VISIBLE Falha no provisionamento de certificado de domínio. Um dos seguintes casos pode ser o problema:
FAILED_CAA_CHECKING Falha no provisionamento de certificado devido a um problema de configuração no registro CAA do domínio. Verifique se você seguiu o procedimento correto.
FAILED_CAA_FORBIDDEN Falha no provisionamento de certificado devido ao registro CAA do seu domínio não especificar uma CA que o Google Cloud precisa usar. Verifique se você seguiu o procedimento correto.
FAILED_RATE_LIMITED Falha no provisionamento de certificado devido a uma autoridade de certificação ter solicitações de assinatura de certificado com limitação de taxa. É possível provisionar um novo certificado, mudar para o novo certificado e excluir o antigo ou entrar em contato com o suporte do Google Cloud.

Renovação de certificados gerenciados

Se algum dos domínios ou subdomínios em um certificado gerenciado não estiver apontando para o endereço IP do balanceador de carga, o processo de renovação falhará. Para evitar falhas na renovação, verifique se todos os domínios e subdomínios apontam para o endereço IP do balanceador de carga.

Solução de problemas de certificados SSL autogerenciados

Não é possível analisar o certificado

O Google Cloud exige certificados no formato PEM. Se o certificado estiver no formato PEM, verifique o seguinte:

Para validar seu certificado, use o seguinte comando OpenSSL, substituindo CERTIFICATE_FILE pelo caminho para o arquivo do seu certificado:

openssl x509 -in CERTIFICATE_FILE -text -noout

Se o OpenSSL não puder analisar seu certificado:

Nome comum ou nome alternativo do assunto ausente

O Google Cloud exige que seu certificado tenha um nome comum (CN) ou um nome alternativo do assunto (SAN). Consulte Criar um CSR para mais informações.

Quando ambos os atributos estiverem ausentes, o Google Cloud exibirá uma mensagem de erro como esta, ao se tentar criar um certificado autogerenciado:

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Não é possível analisar a chave privada

O Google Cloud exige chaves privadas no formato PEM que atendam aos critérios de chave privada.

Você pode validar sua chave privada usando o seguinte comando OpenSSL, substituindo PRIVATE_KEY_FILE pelo caminho para sua chave privada:

    openssl rsa -in PRIVATE_KEY_FILE -check

As respostas a seguir indicam um problema com a chave privada:

  • unable to load Private Key
  • Expecting: ANY PRIVATE KEY
  • RSA key error: n does not equal p q
  • RSA key error: d e not congruent to 1
  • RSA key error: dmp1 not congruent to d
  • RSA key error: dmq1 not congruent to d
  • RSA key error: iqmp not inverse of q

Para corrigir esse problema, crie uma nova chave privada e um certificado.

Chaves privadas com senha longa

Se o OpenSSL solicitar uma senha longa, será preciso removê-la da sua chave privada antes de usá-la com o Google Cloud. Use o seguinte comando OpenSSL:

openssl rsa -in PRIVATE_KEY_FILE \
    -out REPLACEMENT_PRIVATE_KEY_FILE

Substitua os marcadores por valores válidos:

  • PRIVATE_KEY_FILE: o caminho para a chave privada protegida com uma senha longa
  • REPLACEMENT_PRIVATE_KEY_FILE: um caminho de arquivo em que você quer salvar uma cópia da chave privada de texto simples.

Certificados intermediários expirados

Se um certificado intermediário expirar antes do certificado do servidor (folha), isso poderá indicar que sua CA não está seguindo as práticas recomendadas.

Quando um certificado intermediário expira, seu certificado de folha usado no Google Cloud pode se tornar inválido. Isso depende do cliente SSL, como descrito a seguir:

  • Alguns clientes SSL só analisam o tempo de expiração do certificado folha e ignoram os certificados intermediários expirados.
  • Alguns clientes SSL tratam como inválida uma cadeia com certificados intermediários expirados e exibem um aviso.

Para solucionar esse problema, faça o seguinte:

  1. Aguarde a CA alternar para um novo certificado intermediário.
  2. Solicite um novo certificado.
  3. Faça um outro upload do novo certificado com as novas chaves.

Sua CA também pode permitir a assinatura cruzada para certificados intermediários. Verifique com sua CA para confirmar.

O expoente público RSA é muito grande

A seguinte mensagem de erro aparece quando o expoente público RSA é maior que 65537. Use 65537, conforme especificado na RFC 4871.

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 - The RSA public exponent is too large.