Soluciona problemas
En esta página, se muestra cómo resolver problemas habituales con Certificate Authority Service.
La solicitud a la API muestra HTTP 403 Forbidden
Si una solicitud a la API muestra el error HTTP 403 Forbidden con el mensaje Read access to project PROJECT_NAME was denied, usa la siguiente resolución.
Solución
- Verifica los permisos de IAM del solicitante.
- Verifica la ubicación de la solicitud. Las regiones no compatibles pueden mostrar un error de permiso denegado. Para obtener más información sobre las ubicaciones admitidas, consulta Ubicaciones.
Borrar una AC muestra la condición previa con errores HTTP 412
Si ves los siguientes errores de condiciones previas con errores cuando borras una AC, usa la resolución de esta sección.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Solución
Para que se borre, la AC debe tener el estado DISABLED o STAGED. Asegúrate de conocer el estado de tu AC antes de programar su eliminación. Para obtener más información sobre los estados de AC, consulta Estados de AC.
Error en la emisión del certificado
CA Service proporciona varios controles de políticas que puedes usar para administrar la emisión de certificados. Para obtener más información sobre los controles de políticas, consulta Descripción general de las plantillas de certificados y las políticas de emisión.
La emisión del certificado puede fallar por varias razones. A continuación, se muestran algunos de estos motivos:
Conflicto entre la política de emisión de certificados del grupo de AC y la plantilla de certificado.
Por ejemplo, considera que la política de emisión define una extensión
fooy le asigna el valorbar, y la plantilla del certificado define la extensiónfooy le asigna el valorbat. Asignar dos valores diferentes a la misma extensión crea un conflicto.Solución
Revisa la política de emisión de certificados del grupo de AC con la plantilla de certificado y, luego, identifica y resuelve los conflictos.
Para obtener más información sobre las políticas de emisión, consulta Agrega una política de emisión de certificados a un grupo de AC.
El asunto o los nombres alternativos de asunto (SAN) no pasan la evaluación de la expresión CEL en la plantilla de certificado o en la política de emisión de certificados del grupo de AC.
Solución
Revisa la política de emisión de certificados y la plantilla de certificados del grupo de AC, y asegúrate de que el sujeto y el SAN cumplan con las condiciones establecidas por las expresiones de Common Expression Language (CEL). Para obtener más información sobre las expresiones en CEL, consulta Usa Common Expression Language.
Se otorga un rol de IAM incorrecto para un caso de uso. Por ejemplo, asigna el rol
roles/privateca.certificateRequesterpara la identidad reflejada o la funciónroles/privateca.workloadCertificateRequesterpara el modo de identidad predeterminado.Solución
Confirma que asignaste el rol
roles/privateca.certificateRequesterpara el modo de identidad predeterminado y el rolroles/privateca.workloadCertificateRequesterpara la identidad reflejada. Para obtener más información sobre el uso de la reflexión de identidad, consulta Reflexión de identidad para cargas de trabajo federadas.Intentas usar el modo de identidad reflejada en una situación no compatible, como sin la identidad de la carga de trabajo de Hub. Una situación no admitida para la reflexión de identidad muestra el siguiente mensaje de error:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Solución
Determina qué tipo de identidad necesitas utilizar: identidad predeterminada o identidad reflejada. Si necesitas usar la identidad reflejada, asegúrate de hacerlo en una de las situaciones admitidas. Para obtener más información sobre la reflexión de identidad, consulta Reflejación de identidad para cargas de trabajo federadas.
La restricción predeterminada del tamaño de la clave rechaza las claves RSA con un tamaño del módulo inferior a 2,048 bits.
En las prácticas recomendadas de la industria, se recomienda usar una clave RSA de al menos 2048 bits. De forma predeterminada, el servicio de AC evita que se emitan certificados con un Clave RSA cuyo tamaño de módulo sea inferior a 2048 bits
Solución
Si deseas usar una clave RSA con un tamaño de módulo inferior a 2048 bits, debes permitirlo explícitamente con la política de emisión de certificados. Usa el siguiente ejemplo de YAML para permitir esas claves RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024
¿Qué sigue?
- Obtén más información sobre las prácticas recomendadas para usar Certificate Authority Service.
- Preguntas frecuentes