Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung beim Zertifikat-Manager
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung des Zertifikatsmanagers auftreten können. Außerdem werden Schritte zur Diagnose und Behebung dieser Fehler beschrieben.

Probleme mit TLS-Zertifikaten (SSL)

Informationen zum Beheben von Problemen mit TLS- (SSL-)Zertifikaten finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.

Fehler beim Entfernen einer Zertifikatzuordnung von einem Zielproxy

Wenn Sie eine Zertifikatszuordnung von einem Ziel-Proxy trennen, wird der folgende Fehler angezeigt:

"There must be at least one certificate configured for a target proxy."

Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate als die in der Zertifikatzuordnung zugewiesen sind, die Sie trennen möchten. Wenn Sie die Zuordnung aufheben möchten, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.

Fehler beim Verknüpfen eines Eintrags der Zertifikatszuordnung mit einem Zertifikat

Wenn Sie einen Eintrag der Zertifikatszuordnung mit einem Zertifikat verknüpfen, erhalten Sie folgende Fehlermeldung:

"certificate can't be used more than 100 times"

Dieser Fehler tritt auf, wenn Sie versuchen, einen Eintrag der Zertifikatszuordnung mit einem Zertifikat zu verknüpfen, das bereits mit 100 Einträgen der Zertifikatszuordnung verknüpft ist. So beheben Sie das Problem:

Erstellen Sie für von Google verwaltete Zertifikate ein weiteres Zertifikat. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.
Laden Sie selbstverwaltete Zertifikate noch einmal mit einem neuen Namen hoch. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.

Probleme im Zusammenhang mit von einer CA Service-Instanz ausgestellten Zertifikaten

In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die bei der Bereitstellung von von Ihrer CA Service-Instanz ausgestellten, von Google verwalteten Zertifikaten mit Zertifikatmanager auftreten können, sowie ihre möglichen Ursachen.

Wenn Sie den Fehler Failed to create Certificate Issuance Config resources erhalten, prüfen Sie Folgendes:

Die Lebensdauer. Gültige Werte für die Zertifikatslaufzeit liegen zwischen 21 und 30 Tagen.
Der Prozentsatz des Rotationsfensters. Gültige Prozentsätze für das Rotationsfenster liegen zwischen 1 und 99 Prozent. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslaufzeit festlegen, damit die Zertifikatsverlängerung mindestens 7 Tage nach der Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf des Zertifikats erfolgt.
Der Schlüsselalgorithmus Gültige Werte für den Schlüsselalgorithmus sind RSA_2048 und ECDSA_P256.
Der CA-Pool Der CA-Pool ist entweder nicht vorhanden oder falsch konfiguriert. Der CA-Pool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung privateca.capools.use für das Ziel-Google Cloud-Projekt haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatausstellung am selben Ort wie der CA-Pool erstellt werden.

Wenn der Fehler Failed to create a managed certificate ausgegeben wird, prüfen Sie Folgendes:

Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
Der Aufrufer hat die Berechtigung certificatemanager.certissuanceconfigs.use für die Konfigurationsressource zur Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben.
Das Zertifikat befindet sich am selben Speicherort wie die Konfigurationsressource für die Zertifikatausstellung.

Wenn Sie den Fehler Failed to renew certificate oder Failed to provision certificate erhalten, prüfen Sie Folgendes:

Das Dienstkonto „Certificate Manager“ hat die Berechtigung roles/privateca.certificateRequester für den CA-Pool, der in der Konfigurationsressource für die Zertifikatausstellung für dieses Zertifikat angegeben ist.

Mit dem folgenden Befehl können Sie die Berechtigungen für den Ziel-CA-Pool prüfen:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Ersetzen Sie Folgendes:
- CA_POOL: der vollständige Ressourcenpfad und der Name des Ziel-CA-Pools
- REGION: die Zielregion Google Cloud
Es gilt eine Richtlinie für die Ausstellung von Zertifikaten. Weitere Informationen finden Sie unter Probleme im Zusammenhang mit Einschränkungen der Richtlinien zur Ausstellung.

Probleme im Zusammenhang mit Einschränkungen der Richtlinien für die Ausstellung

Wenn der Zertifikatsmanager die Änderungen an einem Zertifikat, die durch die Richtlinie zur Zertifikatsausstellung vorgenommen wurden, nicht unterstützt, schlägt die Zertifikatsbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich zu Failed. Prüfen Sie Folgendes, um das Problem zu beheben:

Die Identitätseinschränkungen des Zertifikats ermöglichen die Weiterleitung des Antragstellers und des alternativen Antragstellernamens (Subject Alternative Name, SAN).
Die Einschränkung der maximalen Lebensdauer des Zertifikats ist länger als die Lebensdauer der Konfigurationsressource für die Zertifikatsausstellung.

Da der CA-Dienst das Zertifikat bereits ausgestellt hat, werden Ihnen die Kosten für die vorherigen Probleme gemäß den Preisen für den CA-Dienst in Rechnung gestellt.

Wenn Sie den Fehler Rejected for issuing certificates from the configured CA Pool erhalten, bedeutet das, dass das angeforderte Zertifikat gemäß der Richtlinie zur Zertifikatsausstellung blockiert wurde. Prüfen Sie Folgendes, um den Fehler zu beheben:

Der Ausstellungsmodus des Zertifikats erlaubt Anfragen zur Zertifikatssignatur (Certificate Signing Request, CSR).
Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Konfigurationsressource für die Zertifikatausstellung kompatibel.

Da der CA-Dienst das Zertifikat nicht ausgestellt hat, werden Ihnen die vorherigen Probleme nicht in Rechnung gestellt.

Probleme mit der Übereinstimmung von IAP-Hostnamen

Wenn Sie bei der Verwendung des Zertifikatsmanagers mit Identity-Aware Proxy (IAP) unerwartet den Fehler The host name provided does not match the SSL certificate on the server erhalten, prüfen Sie, ob Sie ein Zertifikat verwenden, das für diesen Hostnamen gültig ist. Listen Sie auch die Einträge für die Zertifikatszuordnung auf, die Sie in Ihrer Zertifikatszuordnung konfiguriert haben. Jeder Hostname oder Wildcard-Hostname, den Sie mit IAP verwenden möchten, muss einen eigenen Eintrag haben. Wenn der Eintrag in der Zertifikatszuordnung für Ihren Hostnamen fehlt, erstellen Sie einen Eintrag in der Zertifikatszuordnung.

Anfragen, die bei der Zertifikatsauswahl auf den primären Eintrag der Zertifikatszuordnung zurückgreifen, werden von IAP immer abgelehnt.

Fehler bei der Domainüberprüfung aus mehreren Perspektiven

Google Cloud verlängert Ihre von Google verwalteten Zertifikate regelmäßig, indem sie sie bei Zertifizierungsstellen anfordert. Die Zertifizierungsstellen, mit denenGoogle Cloud Ihre Zertifikate verlängert, verwenden eine mehrdimensionale Domainbestätigungsmethode namens Multi-Perspective Issuance Corroboration (MPIC). Im Rahmen dieses Prozesses prüfen die Zertifizierungsstellen die Domainkontrolle, indem sie die DNS-Einstellungen der Domain überprüfen. Bei der Autorisierung des Load Balancers versuchen sie, den Server hinter der IP-Adresse der Domain zu kontaktieren. Diese Überprüfungen werden von mehreren Standorten aus im Internet durchgeführt. Wenn der Validierungsprozess fehlschlägt, können von Google verwaltete Zertifikate nicht verlängert werden. Daher stellt Ihr Load Balancer Clients ein abgelaufenes Zertifikat zur Verfügung, was zu Zertifikatsfehlern bei Browsernutzern und Verbindungsfehlern bei API-Clients führt.

Beachten Sie Folgendes, um Fehler bei der mehrdimensionalen Domainbestätigung aufgrund falsch konfigurierter DNS-Einträge zu vermeiden:

Ihre DNS-A-Einträge (IPv4) und DNS-AAAA-Einträge (IPv6) für Ihre Domains und Subdomains verweisen nur auf die IP-Adresse(n), die der Weiterleitungsregel oder den Weiterleitungsregeln des Load Balancers zugeordnet sind. Das Vorhandensein anderer Adressen im Eintrag kann zu einer Fehlermeldung bei der Validierung führen.
Die Zertifizierungsstelle, die die Validierung von DNS-Einträgen durchführt, fragt DNS-Einträge an mehreren Standorten ab. Achten Sie darauf, dass Ihr DNS-Anbieter einheitlich auf alle Anfragen zur globalen Domainbestätigung reagiert.
Die Verwendung von GeoDNS (die Rückgabe verschiedener IP-Adressen je nach Standort der Anfrage) oder standortbasierter DNS-Richtlinien kann zu inkonsistenten Antworten und zum Fehlschlagen der Validierung führen. Wenn Ihr DNS-Anbieter GeoDNS verwendet, deaktivieren Sie es oder sorgen Sie dafür, dass alle Regionen dieselbe IP-Adresse des Load Balancers zurückgeben.
Wenn Sie die Autorisierung des Load Balancers verwenden, um von Google verwaltete Zertifikate bereitzustellen, müssen Sie die IP-Adressen Ihres Load Balancers in Ihrer DNS-Konfiguration explizit angeben. Zwischenschichten wie ein CDN können zu unvorhersehbarem Verhalten führen. Auf die IP-Adresse muss direkt zugegriffen werden können, ohne Weiterleitungen, Firewalls oder CDNs im Anfragepfad. Weitere Informationen finden Sie in diesem Dokument im Abschnitt Load Balancer hinter einem CDN.
Wir empfehlen Ihnen, einen globalen DNS-Propagation-Checker Ihrer Wahl zu verwenden, um zu prüfen, ob alle relevanten DNS-Einträge weltweit korrekt und konsistent aufgelöst werden.

Konfigurationsänderungen prüfen

Nachdem Sie Ihre DNS-Einträge konfiguriert haben, können Sie ihre Richtigkeit prüfen, indem Sie ein neues Zertifikat erstellen und es zusammen mit dem vorhandenen Zertifikat mit Ihrem Load Balancer verknüpfen. Dadurch wird eine sofortige Überprüfung der Zertifikatsbereitstellung bei der Zertifizierungsstelle erzwungen. So können Sie Ihre Konfigurationsänderungen innerhalb weniger Minuten überprüfen. Andernfalls kann die automatische Verlängerung des vorhandenen Zertifikats Tage oder Wochen dauern, was Unsicherheiten bei der Einrichtung zur Folge hat.

Wenn der Zertifikatsstatus ACTIVE lautet, wurde das Zertifikat ausgestellt. Ihre DNS-Konfiguration ist also korrekt. Wir empfehlen Ihnen, das vorherige Zertifikat zu entfernen, damit nicht zwei separate Zertifikate für dieselbe Domain vorhanden sind. Dabei wird der Traffic an den Load Balancer nicht unterbrochen.

Das neue Zertifikat dient als Validierungstool. Mit seiner Erstellung wird bestätigt, dass die mehrperspektivische Domainbestätigung mit MPIC für Ihre Einrichtung korrekt funktioniert.

Load Balancer hinter einem CDN

Bei Load Balancern, für die CDN aktiviert ist, verhindern einige CDN-Anbieter von Drittanbietern im Anfragepfad möglicherweise, dass Validierungsanfragen erfolgreich ausgeführt werden. Das kann auftreten, wenn der CDN-Anbieter HTTP(S)-Traffic aktiv weiterleitet.

In solchen Fällen empfehlen wir die Verwendung der DNS-Autorisierung, um von Google verwaltete Zertifikate bereitzustellen. Bei diesem Ansatz muss die Zertifizierungsstelle nicht Ihren Load Balancer kontaktieren.

Fehlerbehebung beim Zertifikat-Manager Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.