Risoluzione dei problemi
Questa pagina mostra come risolvere i problemi comuni di Certificate Authority Service.
La richiesta API restituisce HTTP 403 Forbidden
Se una richiesta API restituisce HTTP 403 Forbidden con il messaggio Read access to project PROJECT_NAME was denied, utilizza la seguente risoluzione.
Risoluzione
- Controlla le autorizzazioni IAM dell'utente che ha effettuato la richiesta.
- Controlla la posizione della richiesta. Le regioni non supportate possono restituire un errore di autorizzazione negata. Per ulteriori informazioni sulle località supportate, consulta Località.
L'eliminazione di una CA restituisce il codice HTTP 412 Precondizione non riuscita
Se durante l'eliminazione di una CA vengono visualizzati i seguenti errori relativi ai prerequisiti non riusciti, utilizza la soluzione indicata in questa sezione.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Risoluzione
Una CA deve essere nello stato DISABLED o STAGED per poter essere eliminata. Verifica lo stato della CA prima di pianificarne l'eliminazione. Per ulteriori informazioni sugli stati delle CA, consulta Stati delle CA.
Errore di emissione del certificato
Il servizio CA fornisce diversi controlli dei criteri che puoi utilizzare per gestire l'emissione dei certificati. Per ulteriori informazioni sui controlli dei criteri, consulta la Panoramica dei modelli di certificati e dei criteri di emissione.
L'emissione del certificato può non riuscire per diversi motivi. Ecco alcuni di questi motivi.
Conflitto tra la policy di emissione dei certificati e il modello di certificato del pool di CA.
Ad esempio, supponiamo che il criterio di emissione definisca un'estensione
fooe le assegni il valorebare che il modello di certificato definisca l'estensionefooe le assegni il valorebat. L'assegnazione di due valori diversi alla stessa estensione crea un conflitto.Risoluzione
Esamina la policy di emissione dei certificati del pool di CA rispetto al modello di certificato e identifica e risolvi i conflitti.
Per ulteriori informazioni sui criteri di emissione, consulta Aggiungere un criterio di emissione dei certificati a un pool di CA.
Il nome dell'oggetto o i nomi alternativi dell'oggetto (SAN) non superano la valutazione dell'espressione CEL nel modello di certificato o nel criterio di emissione dei certificati del pool di CA.
Risoluzione
Esamina il modello e le norme di emissione dei certificati del pool di CA e assicurati che l'oggetto e il SAN soddisfino le condizioni impostate dalle espressioni Common Expression Language (CEL). Per ulteriori informazioni sulle espressioni CEL, consulta Utilizzare Common Expression Language.
È stato concesso un ruolo IAM errato per un caso d'uso. Ad esempio, l'assegnazione del ruolo
roles/privateca.certificateRequesterper l'identità riflessa o del ruoloroles/privateca.workloadCertificateRequesterper la modalità di identità predefinita.Risoluzione
Verifica di aver assegnato il ruolo
roles/privateca.certificateRequesterper la modalità di identità predefinita e il ruoloroles/privateca.workloadCertificateRequesterper l'identità riflessa. Per ulteriori informazioni sull'utilizzo della riflessione delle identità, consulta Riflessione delle identità per i carichi di lavoro federati.Tentativo di utilizzare la modalità di identità riflessa in uno scenario non supportato, ad esempio senza l'identità del carico di lavoro dell'hub. Uno scenario non supportato per la riflessione dell'identità restituisce il seguente messaggio di errore:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Risoluzione
Determina quale tipo di identità devi utilizzare: identità predefinita o identità riflessa. Se devi utilizzare l'identità riflessa, assicurati di utilizzarla in uno degli scenari supportati. Per ulteriori informazioni sulla riflessione dell'identità, consulta Riflessione dell'identità per i carichi di lavoro federati.
La limitazione predefinita delle dimensioni della chiave rifiuta le chiavi RSA con dimensioni del modulo inferiori a 2048 bit.
Le best practice del settore consigliano di utilizzare una chiave RSA di almeno 2048 bit. Per impostazione predefinita, il servizio CA impedisce di emettere certificati utilizzando una chiave RSA di cui le dimensioni del modulo sono inferiori a 2048 bit.
Risoluzione
Se vuoi utilizzare una chiave RSA con un modulo di dimensioni inferiori a 2048 bit, devi consentirla esplicitamente utilizzando il criterio di emissione dei certificati. Utilizza il seguente esempio YAML per consentire queste chiavi RSA:
allowedKeyTypes: - rsa: minModulusSize: 1024