Pemecahan masalah

Halaman ini menunjukkan cara menyelesaikan masalah umum terkait Certificate Authority Service.

Permintaan API menampilkan HTTP 403 Forbidden

Jika permintaan API menampilkan HTTP 403 Forbidden dengan pesan Read access to project PROJECT_NAME was denied, gunakan resolusi berikut.

Resolusi

  1. Periksa izin IAM pemohon.
  2. Periksa lokasi untuk permintaan tersebut. Region yang tidak didukung dapat menampilkan error izin ditolak. Untuk mengetahui informasi selengkapnya tentang lokasi yang didukung, lihat Lokasi.

Menghapus CA akan menampilkan HTTP 412 Prasyarat Gagal

Jika Anda melihat error prasyarat gagal berikut saat menghapus CA, gunakan penyelesaian di bagian ini.

  • Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Resolusi

CA harus dalam status DISABLED atau STAGED agar dapat dihapus. Pastikan status CA Anda sebelum menjadwalkan penghapusannya. Untuk mengetahui informasi selengkapnya tentang status CA, lihat Status CA.

Kegagalan penerbitan sertifikat

CA Service menyediakan beberapa kontrol kebijakan yang dapat Anda gunakan untuk mengelola penerbitan sertifikat. Untuk mengetahui informasi selengkapnya tentang kontrol kebijakan, lihat Ringkasan template sertifikat dan kebijakan penerbitan.

Penerbitan sertifikat dapat gagal karena beberapa alasan. Beberapa alasan tersebut adalah sebagai berikut.

  • Konflik antara kebijakan penerbitan sertifikat dan template sertifikat kumpulan CA.

    Misalnya, pertimbangkan bahwa kebijakan penerbitan menentukan ekstensi foo dan menetapkan nilai bar dan template sertifikat menentukan ekstensi foo dan menetapkan nilai bat. Menetapkan dua nilai yang berbeda ke ekstensi yang sama akan menimbulkan konflik.

    Resolusi

    Tinjau kebijakan penerbitan sertifikat kumpulan CA terhadap template sertifikat, serta identifikasi dan selesaikan konflik.

    Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

  • Nama Subjek atau Nama Alternatif Subjek (SAN) gagal dalam evaluasi ekspresi CEL di template sertifikat atau kebijakan penerbitan sertifikat kumpulan CA.

    Resolusi

    Tinjau kebijakan penerbitan sertifikat dan template sertifikat kumpulan CA, serta pastikan subjek dan SAN memenuhi kondisi yang ditetapkan oleh ekspresi Common Expression Language (CEL). Untuk informasi selengkapnya tentang ekspresi CEL, lihat Menggunakan Common Expression Language.

  • Peran IAM yang salah diberikan untuk kasus penggunaan. Misalnya, menetapkan peran roles/privateca.certificateRequester untuk identitas yang direfleksikan atau menetapkan peran roles/privateca.workloadCertificateRequester untuk mode identitas default.

    Resolusi

    Pastikan Anda telah menetapkan peran roles/privateca.certificateRequester untuk mode identitas default dan peran roles/privateca.workloadCertificateRequester untuk identitas yang direfleksikan. Untuk informasi selengkapnya tentang penggunaan refleksi identitas, lihat Refleksi identitas untuk workload gabungan.

  • Mencoba menggunakan mode identitas yang direfleksikan dalam skenario yang tidak didukung, seperti tanpa identitas beban kerja Hub. Skenario yang tidak didukung untuk refleksi identitas akan menampilkan pesan error berikut:

    Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.

    Resolusi

    Tentukan jenis identitas yang perlu Anda gunakan: identitas default atau identitas yang direfleksikan. Jika Anda perlu menggunakan identitas yang ditampilkan, pastikan Anda menggunakannya dalam salah satu skenario yang didukung. Untuk informasi selengkapnya tentang refleksi identitas, lihat Refleksi identitas untuk workload gabungan.

  • Batasan ukuran kunci default menolak kunci RSA dengan ukuran modulus kurang dari 2048 bit.

    Praktik terbaik industri merekomendasikan penggunaan kunci RSA minimal 2048 bit. Secara default, Layanan CA mencegah penerbitan sertifikat menggunakan kunci RSA yang ukuran modulusnya kurang dari 2048 bit.

    Resolusi

    Jika ingin menggunakan kunci RSA dengan ukuran modulus kurang dari 2048 bit, Anda harus mengizinkannya secara eksplisit menggunakan kebijakan penerbitan sertifikat. Gunakan contoh YAML berikut untuk mengizinkan kunci RSA tersebut:

    allowedKeyTypes:
- rsa:
    minModulusSize: 1024

Langkah selanjutnya