Solución de problemas

En esta página se explica cómo solucionar problemas habituales con el Servicio de Autoridades de Certificación.

La solicitud a la API devuelve el error HTTP 403 Forbidden

Si una solicitud a la API devuelve el error HTTP 403 Forbidden con el mensaje Read access to project PROJECT_NAME was denied, sigue estos pasos para solucionarlo.

Resolución

1. Comprueba los permisos de gestión de identidades y accesos del solicitante.
2. Comprueba la ubicación de la solicitud. En las regiones no admitidas, se puede devolver un error de permiso denegado. Para obtener más información sobre las ubicaciones admitidas, consulta Ubicaciones.

Al eliminar una AC, se devuelve el error HTTP 412 (Precondición fallida)

Si ves los siguientes errores de condición previa fallida al eliminar una CA, usa la solución que se indica en esta sección.

• Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Resolución

Para poder eliminar una AC, debe estar en estado DISABLED o STAGED. Asegúrate del estado de tu CA antes de programarla para que se elimine. Para obtener más información sobre los estados de las AC, consulta Estados de las AC.

No se ha podido emitir el certificado

El Servicio de Autoridades de Certificación ofrece varios controles de políticas que puedes usar para gestionar la emisión de certificados. Para obtener más información sobre los controles de políticas, consulta Información general sobre las plantillas de certificados y las políticas de emisión.

La emisión de certificados puede fallar por varios motivos. Algunos de estos motivos son los siguientes.

• Conflicto entre la política de emisión de certificados del grupo de ACs y la plantilla de certificado.

  Por ejemplo, supongamos que la política de emisión define una extensión foo y le asigna el valor bar, y que la plantilla de certificado define la extensión foo y le asigna el valor bat. Si asignas dos valores diferentes a la misma extensión, se producirá un conflicto.

  Resolución

  Revisa la política de emisión de certificados del grupo de AC en comparación con la plantilla de certificado, e identifica y resuelve los conflictos.

  Para obtener más información sobre las políticas de emisión, consulta Añadir una política de emisión de certificados a un grupo de CAs.

• Los nombres alternativos del sujeto o del sujeto no superan la evaluación de la expresión CEL en la plantilla de certificado o en la política de emisión de certificados del grupo de autoridades de certificación.

  Resolución

  Revisa la política de emisión de certificados y la plantilla de certificado del grupo de ACs, y asegúrate de que el asunto y el SAN cumplen las condiciones establecidas por las expresiones del lenguaje de expresión común (CEL). Para obtener más información sobre las expresiones CEL, consulta Usar el lenguaje de expresión común.

• Se ha concedido un rol de gestión de identidades y accesos incorrecto para un caso práctico. Por ejemplo, asignar el rol roles/privateca.certificateRequester a la identidad reflejada o el rol roles/privateca.workloadCertificateRequester al modo de identidad predeterminado.

  Resolución

  Confirma que has asignado el rol roles/privateca.certificateRequester al modo de identidad predeterminado y el rol roles/privateca.workloadCertificateRequester a la identidad reflejada. Para obtener más información sobre cómo usar la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.

• Intentar usar el modo de identidad reflejada en una situación no admitida, como sin la identidad de carga de trabajo de Hub. Si se da un caso no admitido de reflejo de identidad, se devuelve el siguiente mensaje de error:

  Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
  

  Resolución

  Determina qué tipo de identidad necesitas usar: identidad predeterminada o reflejada. Si necesitas usar la identidad reflejada, asegúrate de que la usas en uno de los casos admitidos. Para obtener más información sobre la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.

• La restricción de tamaño de clave predeterminada rechaza las claves RSA con un tamaño de módulo inferior a 2048 bits.

  Las prácticas recomendadas del sector aconsejan usar una clave RSA de al menos 2048 bits. De forma predeterminada, el servicio de AC impide que se emitan certificados con una clave RSA cuyo tamaño de módulo sea inferior a 2048 bits.

  Resolución

  Si quieres usar una clave RSA con un tamaño de módulo inferior a 2048 bits, debes permitirlo explícitamente mediante la política de emisión de certificados. Usa el siguiente ejemplo de YAML para permitir este tipo de claves RSA:

  allowedKeyTypes:
  - rsa:
      minModulusSize: 1024
  

Siguientes pasos

• Consulta las prácticas recomendadas para usar el Servicio de Autoridades de Certificación.
• Preguntas frecuentes