Fehlerbehebung

Auf dieser Seite erfahren Sie, wie Sie häufige Probleme mit dem Certificate Authority Service beheben.

API-Anfrage gibt HTTP 403 Forbidden zurück

Wenn eine API-Anfrage den HTTP-Statuscode 403 Forbidden mit der Meldung Read access to project PROJECT_NAME was denied zurückgibt, verwende die folgende Lösung.

Lösung

  1. Prüfen Sie die IAM-Berechtigungen des Antragstellers.
  2. Prüfen Sie den Standort der Anfrage. Bei nicht unterstützten Regionen kann der Fehler „Berechtigung verweigert“ zurückgegeben werden. Weitere Informationen zu unterstützten Standorten finden Sie unter Standorte.

Beim Löschen einer Zertifizierungsstelle wird der HTTP-Statuscode 412 zurückgegeben

Wenn beim Löschen einer Zertifizierungsstelle die folgenden Fehlermeldungen zu nicht erfüllten Voraussetzungen angezeigt werden, verwenden Sie die Lösung in diesem Abschnitt.

  • Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Lösung

Eine Zertifizierungsstelle muss sich im Status DISABLED oder STAGED befinden, damit sie gelöscht werden kann. Prüfen Sie den Status Ihrer Zertifizierungsstelle, bevor Sie sie zum Löschen planen. Weitere Informationen zu CA-Status finden Sie unter CA-Status.

Fehler bei der Zertifikatsausstellung

CA Service bietet mehrere Richtliniensteuerungen, mit denen Sie die Ausstellung von Zertifikaten verwalten können. Weitere Informationen zu den Richtlinienkontrollen finden Sie unter Übersicht über Zertifikatsvorlagen und Richtlinien zur Ausstellung.

Die Ausstellung von Zertifikaten kann aus verschiedenen Gründen fehlschlagen. Hier sind einige dieser Gründe:

  • Konflikt zwischen der Ausstellungsrichtlinie für Zertifikate des CA-Pools und der Zertifikatvorlage.

    Angenommen, die Ausstellungsrichtlinie definiert die Erweiterung foo und weist ihr den Wert bar zu. Die Zertifikatvorlage definiert die Erweiterung foo und weist ihr den Wert bat zu. Wenn Sie derselben Erweiterung zwei unterschiedliche Werte zuweisen, kommt es zu einem Konflikt.

    Lösung

    Prüfen Sie die Ausstellungsrichtlinie des CA-Pools anhand der Zertifikatsvorlage und identifizieren und beheben Sie Konflikte.

    Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

  • Der Inhaber oder die alternativen Antragstellernamen (Subject Alternative Names, SANs) bestehen die Bewertung des CEL-Ausdrucks entweder in der Zertifikatsvorlage oder in der Zertifikatsausstellungsrichtlinie des CA-Pools nicht.

    Lösung

    Prüfen Sie die Ausstellungsrichtlinie für Zertifikate und die Zertifikatvorlage des CA-Pools und achten Sie darauf, dass der Inhaber und der SAN die Bedingungen erfüllen, die durch Common Expression Language (CEL)-Ausdrücke festgelegt sind. Weitere Informationen zu CEL-Ausdrücken finden Sie unter Common Expression Language verwenden.

  • Für einen Anwendungsfall wird eine falsche IAM-Rolle gewährt. Beispielsweise können Sie die Rolle roles/privateca.certificateRequester für die reflektierte Identität oder die Rolle roles/privateca.workloadCertificateRequester für den Standardidentitätsmodus zuweisen.

    Lösung

    Prüfen Sie, ob Sie die Rolle roles/privateca.certificateRequester für den Standardidentitätsmodus und die Rolle roles/privateca.workloadCertificateRequester für die reflektierte Identität zugewiesen haben. Weitere Informationen zur Verwendung der Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

  • Versuch, den Modus für die reflektierte Identität in einem nicht unterstützten Szenario zu verwenden, z. B. ohne Hub-Arbeitslast-Identität. Bei einem nicht unterstützten Szenario für die Identitätsreflexion wird die folgende Fehlermeldung zurückgegeben:

    Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.

    Lösung

    Legen Sie fest, welche Art von Identität Sie verwenden müssen: Standardidentität oder reflektierte Identität. Wenn Sie die reflektierte Identität verwenden müssen, achten Sie darauf, dass Sie sie in einem der unterstützten Szenarien verwenden. Weitere Informationen zur Identitätsreflexion finden Sie unter Identitätsreflexion für föderierte Arbeitslasten.

  • Aufgrund der Standardbeschränkung für die Schlüsselgröße werden RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit abgelehnt.

    Gemäß den Best Practices der Branche sollte ein RSA-Schlüssel mindestens 2.048 Bit lang sein. Standardmäßig verhindert der CA-Dienst die Ausstellung von Zertifikaten mit einem RSA-Schlüssel, dessen Modulgröße unter 2.048 Bit liegt.

    Lösung

    Wenn Sie einen RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit verwenden möchten, müssen Sie dies über die Richtlinie zur Zertifikatsausstellung ausdrücklich zulassen. Verwenden Sie das folgende YAML-Beispiel, um solche RSA-Schlüssel zuzulassen:

    allowedKeyTypes:
- rsa:
    minModulusSize: 1024

Nächste Schritte