Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Solução de problemas
Nesta página, mostramos como resolver problemas comuns com o serviço de autoridade certificadora.
A solicitação da API retorna HTTP 403 Forbidden
Se uma solicitação de API retornar HTTP 403 Forbidden com a mensagem Read access to project PROJECT_NAME was denied, use a seguinte resolução.
Resolução
- Verifique as permissões do IAM do solicitante.
- Verifique o local da solicitação. As regiões sem suporte podem retornar um erro de permissão negada. Para mais informações sobre os locais com suporte, consulte Locais.
A exclusão de uma AC retorna HTTP 412 Falha na pré-condição
Se você receber os seguintes erros de pré-condição ao excluir uma AC, use a resolução desta seção.
Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.
Resolução
Uma AC precisa estar no estado DISABLED ou STAGED para ser excluída. Verifique o estado da sua AC antes de programá-la para exclusão. Para mais informações sobre os estados da CA, consulte Estados da CA.
Falha na emissão do certificado
O serviço de AC oferece vários controles de política que podem ser usados para gerenciar a emissão de certificados. Para mais informações sobre os controles de política, consulte Visão geral dos modelos de certificado e das políticas de emissão.
A emissão de certificados pode falhar por vários motivos. Confira alguns motivos:
Conflito entre a política de emissão de certificados e o modelo de certificado do pool de ACs.
Por exemplo, considere que a política de emissão define uma extensão foo e atribui o valor bar a ela, e o modelo de certificado define a extensão foo e atribui o valor bat a ela. A atribuição de dois valores diferentes à mesma extensão cria um conflito.
Resolução
Analise a política de emissão de certificados do pool de AC em relação ao modelo de certificado e identifique e resolva os conflitos.
Para mais informações sobre as políticas de emissão, consulte Adicionar uma política de emissão de certificados a um pool de ACs.
O assunto ou os nomes alternativos do assunto (SANs, na sigla em inglês) falham na avaliação da expressão CEL no modelo de certificado ou na política de emissão de certificados do pool de ACs.
Resolução
Revise a política de emissão de certificados e o modelo de certificado do pool de ACs e verifique se o assunto e o SAN atendem às condições definidas pelas expressões do Common Expression Language (CEL). Para mais informações sobre as expressões CEL, consulte Como usar a linguagem de expressão comum.
Papel do IAM incorreto sendo concedido para um caso de uso. Por exemplo, atribuir o papel roles/privateca.certificateRequester para a identidade refletida ou o papel roles/privateca.workloadCertificateRequester para o modo de identidade padrão.
Resolução
Confirme se você atribuiu o papel roles/privateca.certificateRequester para o modo de identidade padrão e o papel roles/privateca.workloadCertificateRequester para a identidade refletida. Para mais informações sobre o uso da reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.
Tentativa de usar o modo de identidade refletida em um cenário sem suporte, como sem a identidade da carga de trabalho do Hub. Um cenário sem suporte para a reflexão de identidade retorna a seguinte mensagem de erro:
Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.
Resolução
Determine qual tipo de identidade você precisa usar: identidade padrão ou identidade refletida. Se você precisar usar a identidade refletida, verifique se está usando em um dos cenários aceitos. Para mais informações sobre a reflexão de identidade, consulte Reflexão de identidade para cargas de trabalho federadas.
A restrição de tamanho de chave padrão rejeita chaves RSA com tamanho de módulo menor que
2.048 bits.
As práticas recomendadas do setor recomendam o uso de uma chave RSA de pelo menos 2.048 bits.
Por padrão, o serviço de AC impede a emissão de certificados usando uma
chave RSA com tamanho de módulo menor que 2048 bits.
Resolução
Se você quiser usar uma chave RSA com tamanho de módulo menor que 2.048 bits, será necessário
permitir isso explicitamente usando a política de emissão de certificados.
Use o exemplo de YAML abaixo para permitir essas chaves RSA:
allowedKeyTypes:
- rsa:
minModulusSize: 1024
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-09-04 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eThis page provides solutions for common issues encountered with Certificate Authority Service, including API errors, CA deletion problems, and certificate issuance failures.\u003c/p\u003e\n"],["\u003cp\u003eAn HTTP 403 Forbidden error on API requests can be resolved by checking the requester's IAM permissions and ensuring the request location is supported.\u003c/p\u003e\n"],["\u003cp\u003eTo delete a CA, it must be in the \u003ccode\u003eDISABLED\u003c/code\u003e or \u003ccode\u003eSTAGED\u003c/code\u003e state, otherwise you will get an HTTP 412 error, so you must ensure the CA's state before attempting deletion.\u003c/p\u003e\n"],["\u003cp\u003eCertificate issuance failures may arise from conflicts between CA pool policies and certificate templates, incorrect IAM role assignments, or unsupported identity reflection scenarios, which can all be resolved by reviewing and correcting those settings.\u003c/p\u003e\n"],["\u003cp\u003eCertificate issuance can be blocked if the RSA key's modulus size is less than 2048 bits, but you can explicitly allow smaller keys through the certificate issuance policy.\u003c/p\u003e\n"]]],[],null,["# Troubleshooting\n===============\n\nThis page shows you how to resolve common issues with Certificate Authority Service.\n\nAPI request returns HTTP 403 Forbidden\n--------------------------------------\n\nIf an API request returns HTTP 403 Forbidden with the message `Read access to project PROJECT_NAME was denied`, then use the following resolution.\n\n**Resolution**\n\n1. Check the IAM permissions of the requester.\n2. Check the location for the request. Unsupported regions can return a permission denied error. For more information about supported locations, see [Locations](/certificate-authority-service/docs/locations).\n\nDeleting a CA returns HTTP 412 Failed Precondition\n--------------------------------------------------\n\nIf you see the following failed precondition errors when deleting a CA, use the resolution in this section.\n\n- `Cannot perform Certificate Authority deletion, Certificate Authority is in state ENABLED.`\n\n**Resolution**\n\nA CA needs to be in `DISABLED` or `STAGED` state for it to be deleted. Ensure the state of your CA before scheduling it for deletion. For more information about CA states, see [CA states](/certificate-authority-service/docs/certificate-authority-states).\n\nCertificate issuance failure\n----------------------------\n\nCA Service provides several policy controls that you can use to manage certificate issuance. For more information about the policy controls, see [Overview of certificate templates and issuance policies](/certificate-authority-service/docs/policy-controls).\n\nCertificate issuance can fail because of several reasons. Some of these reasons are as follows.\n\n- Conflict between CA pool's certificate issuance policy and certificate template.\n\n For example, consider that the issuance policy defines an extension `foo` and assigns it the value `bar` and the certificate template defines extension `foo` and assigns it the value `bat`. Assigning two different values to the same extension creates a conflict.\n\n **Resolution**\n\n Review the CA pool's certificate issuance policy against the certificate template, and identify and resolve the conflicts.\n\n For more information about issuance policies, see [Add a certificate issuance policy to a CA pool](/certificate-authority-service/docs/use-issuance-policy).\n- Subject or Subject Alternate Names (SANs) fail the CEL expression evaluation in either the certificate template or the CA pool's certificate issuance policy.\n\n **Resolution**\n\n Review the CA pool's certificate issuance policy and certificate template, and ensure that the subject and SAN satisfy the conditions set by Common Expression Language (CEL) expressions. For more information about CEL expressions, see [Using Common Expression Language](/certificate-authority-service/docs/using-cel).\n- Incorrect IAM role being granted for a use case. For example, assigning the `roles/privateca.certificateRequester` role for reflected identity or assigning the `roles/privateca.workloadCertificateRequester` role for default identity mode.\n\n **Resolution**\n\n Confirm that you have assigned the `roles/privateca.certificateRequester` role for default identity mode and the `roles/privateca.workloadCertificateRequester` role for reflected identity. For more information about using identity reflection, see [Identity reflection for federated workloads](/certificate-authority-service/docs/using-identity-reflection).\n- Attempting to use the reflected identity mode in an unsupported scenario, such as without Hub workload identity. An unsupported scenario for identity reflection returns the following error message:\n\n ```\n Could not use the REFLECTED_SPIFFE subject mode because the caller does not have a SPIFFE identity. Please visit the CA Service documentation to ensure that this is a supported use-case.\n ```\n\n **Resolution**\n\n Determine which type of identity you need to use: default identity or reflected identity. If you need to use reflected identity, make sure that you are using it in one of the supported scenarios. For more information about identity reflection, see [Identity reflection for federated workloads](/certificate-authority-service/docs/using-identity-reflection).\n- The default key size restriction rejects RSA keys with modulus size less than\n 2048 bits.\n\n Industry best practices recommend using an RSA key of at least 2048 bits.\n By default, CA Service prevents issuing certificates using an\n RSA key whose modulus size is less than 2048 bits.\n\n **Resolution**\n\n If you want to use a RSA key with modulus size less than 2048 bits, you must\n explicitly allow it [using the certificate issuance policy](/certificate-authority-service/docs/use-issuance-policy#gcloud).\n Use the following YAML example to allow such RSA keys: \n\n allowedKeyTypes:\n - rsa:\n minModulusSize: 1024\n\nWhat's next\n-----------\n\n- Learn about the [best practices for using Certificate Authority Service](/certificate-authority-service/docs/best-practices).\n- [Frequently asked questions](/certificate-authority-service/docs/faqs)"]]
