En esta página, se describen los errores más comunes que pueden surgir al usar Administrador de certificados. También proporciona pasos para diagnosticar y resolver esos errores.
Problemas relacionados con los certificados TLS (SSL)
Para obtener ayuda con la resolución de problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas de certificados SSL.
Se produce un error cuando se desconecta un mapa de certificados de un proxy de destino
Cuándo cuando desvinculas un mapa de certificados de un proxy de destino, recibes el siguiente error:
"There must be at least one certificate configured for a target proxy."
Este error se produce cuando no hay certificados asignados al proxy de destino aparte de los especificados en el mapa de certificados que intentas desconectar. Para desvincular el mapa, primero asigna uno o más certificados directamente al proxy.
Problemas relacionados con los certificados emitidos por una instancia del servicio de CA
En esta sección, se enumeran los errores más comunes que pueden surgir al usar Administrador de certificados para implementar los certificados administrados por Google emitidos por tu instancia de servicio de CA y sus posibles causas.
Si recibes el error Failed to create Certificate Issuance Config resources, haz lo siguiente:
comprueba lo siguiente:
- Desde el principio. Vida útil del certificado válido son de 21 a 30 días.
- El porcentaje de la ventana de rotación. Los porcentajes de ventana de rotación válidos son los siguientes: de 1 a 99 por ciento. Debes establecer el porcentaje de la ventana de rotación en con la vida útil del certificado, de modo que la renovación del certificado se lleve a cabo en Al menos 7 días después de que se haya emitido el certificado y, al menos, 7 días antes de que venza.
- El algoritmo clave. Valores válidos del algoritmo de clave
son:
RSA_2048yECDSA_P256. - El grupo de AC. El grupo de AC no existe o está mal configurado.
El grupo de AC debe contener al menos una AC habilitada, y el llamador debe tener el permiso
privateca.capools.useen el proyecto de Google Cloud de destino. En el caso de los certificados regionales, la emisión de certificados el recurso de configuración debe crearse en la misma ubicación que el grupo de AC.
Si recibes un error Failed to create a managed certificate, comprueba la
lo siguiente:
- El recurso de configuración de emisión de certificados que que se especifica cuando se crea el certificado.
- El llamador tiene el permiso
certificatemanager.certissuanceconfigs.useen el recurso de configuración de emisión de certificados que especificaste cuando creando el certificado. - El certificado se encuentra en la misma ubicación que el certificado. de configuración de emisión de radio.
Si recibes un error Failed to renew certificate o Failed to provision
certificate, verifica lo siguiente:
La cuenta de servicio del Administrador de certificados tiene la Permiso
roles/privateca.certificateRequesteren el grupo de AC especificado en el recurso de configuración de emisión de certificados utilizado para esta certificado.Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Reemplaza lo siguiente:
CA_POOL: Es la ruta de acceso y el nombre de recurso completos del grupo de AC de destino.REGION: Es la región de Google Cloud de destino.
Hay una política de emisión de certificados vigente. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.
Problemas relacionados con las restricciones de la política de emisión
Si el Administrador de certificados no admite los cambios en un
certificado emitido por la política de emisión de certificados, el aprovisionamiento de certificados
falla y el estado del certificado administrado cambia a Failed. Para resolver
el problema, confirma lo siguiente:
- Las restricciones de identidad del certificado permiten la transferencia de nombres alternativos de sujeto (SAN) y de sujeto.
- La duración máxima restricción del certificado es mayor que la vida útil de la emisión del certificado de configuración de Terraform.
En el caso de los problemas anteriores, debido a que el Servicio de CA ya emitió el se te facturará de acuerdo con el Servicio de AC precios.
Si recibes el error Rejected for issuing certificates from the configured
CA Pool, significa que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:
- El modo de emisión del certificado permite las solicitudes de firma de certificados (CSR).
- Los tipos de claves permitidos son compatibles con el algoritmo clave del recurso de configuración de emisión de certificados que se usa.
En el caso de los problemas anteriores, como el servicio de AC no emitió el certificado, no se te factura.
Problemas relacionados con la coincidencia de nombres de host de IAP
Si ves el error The host name provided does not match the
SSL certificate on the server de forma inesperada cuando usas el Administrador de certificados con
Identity-Aware Proxy (IAP), comprueba que estés usando un certificado que esté
válido para ese nombre de host. También enumera las entradas del mapa de certificados
que configuraste en el mapa de certificados. Cada nombre de host o comodín
de host que quieras usar con IAP debe tener una dirección
entrada. Si falta la entrada del mapa de certificados de tu nombre de host, crea un
entrada de mapa de certificados.
Solicitudes que regresan a la entrada del mapa de certificados principal durante selección de certificados siempre son rechazadas por IAP.