Cette page a été traduite par l'API Cloud Translation.

Dépannage

Cette page explique comment résoudre les problèmes courants liés à Certificate Authority Service.

La requête API renvoie le code HTTP 403 (interdit)

Si une requête API renvoie le code d'état HTTP 403 "Forbidden" (Interdit) avec le message Read access to project PROJECT_NAME was denied, utilisez la solution suivante.

Solution

Vérifiez les autorisations IAM de la personne à l'origine de la demande.
Vérifiez l'emplacement de la demande. Les régions non compatibles peuvent renvoyer une erreur d'autorisation refusée. Pour en savoir plus sur les emplacements compatibles, consultez la section Emplacements.

La suppression d'une autorité de certification renvoie le code d'état HTTP 412 "Échec de la condition préalable"

Si les erreurs de préconditionnement suivantes s'affichent lorsque vous supprimez une autorité de certification, utilisez la solution proposée dans cette section.

Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Solution

Pour être supprimée, une autorité de certification doit être dans l'état DISABLED ou STAGED. Vérifiez l'état de votre autorité de certification avant de planifier sa suppression. Pour en savoir plus sur les états des autorités de certification, consultez la section États des autorités de certification.

Échec de l'émission de certificats

CA Service fournit plusieurs contrôles de stratégie que vous pouvez utiliser pour gérer l'émission de certificats. Pour en savoir plus sur les contrôles des stratégies, consultez la section Présentation des modèles de certificats et des règles d'émission.

L'émission de certificats peut échouer pour plusieurs raisons. Voici quelques-unes de ces raisons.

Conflit entre la règle d'émission de certificats du pool d'autorités de certification et le modèle de certificat.

Par exemple, supposons que la règle d'émission définisse une extension foo et lui attribue la valeur bar, et que le modèle de certificat définisse l'extension foo et lui attribue la valeur bat. Attribuer deux valeurs différentes à la même extension crée un conflit.

Solution

Comparez la règle d'émission de certificats du pool d'autorités de certification au modèle de certificat, puis identifiez et résolvez les conflits.

Pour en savoir plus sur les règles d'émission, consultez la section Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.
L'évaluation de l'expression CEL pour l'objet ou les autres noms d'objet (SAN) échoue dans le modèle de certificat ou dans la règle d'émission de certificats du pool d'autorités de certification.

Solution

Examinez le modèle et la règle d'émission de certificats du pool d'autorités de certification, et assurez-vous que l'objet et l'autre nom de l'objet répondent aux conditions définies par les expressions CEL (Common Expression Language). Pour en savoir plus sur les expressions CEL, consultez Utiliser le langage CEL.
Rôle IAM incorrect attribué à un cas d'utilisation. Par exemple, attribuer le rôle roles/privateca.certificateRequester pour l'identité réfléchie ou le rôle roles/privateca.workloadCertificateRequester pour le mode d'identité par défaut.

Solution

Vérifiez que vous avez attribué le rôle roles/privateca.certificateRequester pour le mode d'identité par défaut et le rôle roles/privateca.workloadCertificateRequester pour l'identité réfléchie. Pour en savoir plus sur l'utilisation de la réflexion d'identité, consultez Réflexion d'identité pour les charges de travail fédérées.
Tentative d'utilisation du mode d'identité réfléchie dans un scénario non compatible, par exemple sans identité de charge de travail Hub. Un scénario non compatible avec la réflexion d'identité renvoie le message d'erreur suivant:
```
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
```
Solution

Déterminez le type d'identité que vous devez utiliser: identité par défaut ou identité réfléchie. Si vous devez utiliser l'identité réfléchie, assurez-vous de l'utiliser dans l'un des scénarios compatibles. Pour en savoir plus sur la réflexion d'identité, consultez Réflexion d'identité pour les charges de travail fédérées.
La restriction de taille de clé par défaut rejette les clés RSA dont la taille de module est inférieure à 2 048 bits.

Les bonnes pratiques du secteur recommandent d'utiliser une clé RSA d'au moins 2 048 bits. Par défaut, le service d'autorité de certification empêche l'émission de certificats à l'aide d'une clé RSA dont la taille de module est inférieure à 2 048 bits.

Solution

Si vous souhaitez utiliser une clé RSA dont la taille de module est inférieure à 2 048 bits, vous devez l'autoriser explicitement à l'aide de la stratégie d'émission de certificats. Utilisez l'exemple YAML suivant pour autoriser ces clés RSA:
```
allowedKeyTypes:
- rsa:
    minModulusSize: 1024
```

Étape suivante

Découvrez les bonnes pratiques à suivre pour utiliser Certificate Authority Service.
Questions fréquentes