Esta página foi traduzida pela API Cloud Translation.

Resolução de problemas

Esta página mostra como resolver problemas comuns com o serviço de autoridade de certificação.

O pedido de API devolve o erro HTTP 403 Proibido

Se um pedido de API devolver o erro HTTP 403 Proibido com a mensagem Read access to project PROJECT_NAME was denied, use a seguinte resolução.

Resolução

Verifique as autorizações de IAM do requerente.
Verifique a localização do pedido. As regiões não suportadas podem devolver um erro de acesso negado. Para mais informações sobre as localizações suportadas, consulte o artigo Localizações.

A eliminação de uma AC devolve o erro HTTP 412 Failed Precondition

Se vir os seguintes erros de pré-condição falhada ao eliminar uma AC, use a resolução nesta secção.

Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.

Resolução

Uma CA tem de estar no estado DISABLED ou STAGED para ser eliminada. Certifique-se do estado da sua AC antes de agendar a eliminação. Para mais informações acerca dos estados da CA, consulte o artigo Estados da CA.

Falha na emissão do certificado

O serviço de AC oferece vários controlos de políticas que pode usar para gerir a emissão de certificados. Para mais informações sobre os controlos de políticas, consulte o artigo Vista geral dos modelos de certificados e das políticas de emissão.

A emissão de certificados pode falhar por vários motivos. Seguem-se alguns destes motivos.

Conflito entre a política de emissão de certificados do conjunto de ACs e o modelo de certificado.

Por exemplo, considere que a política de emissão define uma extensão foo e atribui-lhe o valor bar, e que o modelo de certificado define a extensão foo e atribui-lhe o valor bat. A atribuição de dois valores diferentes à mesma extensão cria um conflito.

Resolução

Reveja a política de emissão de certificados do conjunto de ACs em comparação com o modelo de certificado, e identifique e resolva os conflitos.

Para mais informações acerca das políticas de emissão, consulte o artigo Adicione uma política de emissão de certificados a um conjunto de ACs.
Os nomes alternativos do assunto ou do assunto (SANs) falham a avaliação da expressão CEL no modelo de certificado ou na política de emissão de certificados do conjunto de ACs.

Resolução

Reveja a política de emissão de certificados e o modelo de certificado do conjunto de ACs e certifique-se de que o assunto e o SAN satisfazem as condições definidas pelas expressões do Idioma de expressão comum (IEC). Para mais informações sobre expressões CEL, consulte o artigo Usar o Idioma de expressão comum.
Está a ser concedida uma função de IAM incorreta para um exemplo de utilização. Por exemplo, atribuir a função roles/privateca.certificateRequester para a identidade refletida ou atribuir a função roles/privateca.workloadCertificateRequester para o modo de identidade predefinido.

Resolução

Confirme que atribuiu a função roles/privateca.certificateRequester para o modo de identidade predefinido e a função roles/privateca.workloadCertificateRequester para a identidade refletida. Para mais informações sobre a utilização da reflexão de identidade, consulte o artigo Reflexão de identidade para cargas de trabalho federadas.
Tentar usar o modo de identidade refletida num cenário não suportado, como sem a identidade da carga de trabalho do Hub. Um cenário não suportado para a reflexão de identidade devolve a seguinte mensagem de erro:
```
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
```
Resolução

Determine que tipo de identidade tem de usar: identidade predefinida ou identidade refletida. Se precisar de usar a identidade refletida, certifique-se de que a está a usar num dos cenários suportados. Para mais informações sobre a reflexão de identidade, consulte o artigo Reflexão de identidade para cargas de trabalho federadas.
A restrição do tamanho da chave predefinida rejeita chaves RSA com um tamanho do módulo inferior a 2048 bits.

As práticas recomendadas da indústria sugerem a utilização de uma chave RSA de, pelo menos, 2048 bits. Por predefinição, o serviço de AC impede a emissão de certificados com uma chave RSA cujo tamanho do módulo seja inferior a 2048 bits.

Resolução

Se quiser usar uma chave RSA com um tamanho do módulo inferior a 2048 bits, tem de a permitir explicitamente através da política de emissão de certificados. Use o exemplo YAML seguinte para permitir essas chaves RSA:
```
allowedKeyTypes:
- rsa:
    minModulusSize: 1024
```

O que se segue?

Saiba mais acerca das práticas recomendadas para usar o serviço de autoridade de certificação.
Perguntas frequentes