Se usó la API de Cloud Translation para traducir esta página.

Soluciona problemas del Administrador de certificados
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describen los errores más comunes que puedes encontrar cuando usas el Administrador de certificados. También proporciona pasos para diagnosticar y resolver esos errores.

Problemas relacionados con los certificados TLS (SSL)

Para obtener ayuda con la resolución de problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas de certificados SSL.

Se produce un error cuando se desconecta un mapa de certificados de un proxy de destino.

Cuando desconectas un mapa de certificados de un proxy de destino, recibes el siguiente error:

"There must be at least one certificate configured for a target proxy."

Este error se produce cuando no hay certificados asignados al proxy de destino, además de los especificados en el mapa de certificados que intentas adjuntar. Para separar el mapa, primero asigna uno o más certificados directamente al proxy.

Se produce un error cuando se asocia una entrada de mapa de certificados con un certificado.

Cuando asocias una entrada de mapa de certificados con un certificado, recibes el siguiente error:

"certificate can't be used more than 100 times"

Este error ocurre cuando intentas asociar una entrada de mapa de certificados con un certificado que ya está asociado con 100 entradas de mapa de certificados. Para solucionar el problema, haz lo siguiente:

Para los certificados administrados por Google, crea otro certificado. Asocia las entradas del mapa de certificados nuevo con este certificado y adjúntalo al balanceador de cargas.
En el caso de los certificados autoadministrados, vuelve a subir el certificado con un nombre nuevo. Asocia las nuevas entradas del mapa de certificados con este certificado nuevo y adjúntalo al balanceador de cargas.

Problemas relacionados con los certificados emitidos por una instancia de Certificate Authority Service

En esta sección, se enumeran los errores más comunes que puedes encontrar cuando usas Certificate Manager para implementar certificados administrados por Google que emitió tu instancia de Certificate Authority Service y sus posibles causas.

Si recibes el error Failed to create Certificate Issuance Config resources, verifica lo siguiente:

La vida útil. Los valores válidos de la vida útil del certificado son de 21 a 30 días.
El porcentaje de la ventana de rotación. Los porcentajes válidos de la ventana de rotación van del 1 al 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
El algoritmo de clave Los valores válidos del algoritmo de claves son RSA_2048 y ECDSA_P256.
El grupo de AC El grupo de AC no existe o está mal configurado. El grupo de AC debe contener al menos una AC habilitada, y el llamador debe tener el permiso privateca.capools.use en el proyecto de Google Cloud de destino. En el caso de los certificados regionales, el recurso de configuración de emisión de certificados se debe crear en la misma ubicación que el grupo de AC.

Si recibes un error Failed to create a managed certificate, verifica lo siguiente:

Existe el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
El llamador tiene el permiso certificatemanager.certissuanceconfigs.use en el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.

Si recibes un error Failed to renew certificate o Failed to provision certificate, verifica lo siguiente:

La cuenta de servicio de Certificate Manager tiene el permiso roles/privateca.certificateRequester en el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.

Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Reemplaza lo siguiente:
- CA_POOL: Es la ruta de acceso y el nombre de recurso completos del grupo de AC de destino.
- REGION: La región Google Cloud de destino
Hay una política de emisión de certificados en vigencia. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.

Problemas relacionados con las restricciones de la política de emisión

Si el Administrador de certificados no admite los cambios en un certificado realizados por la política de emisión de certificados, el aprovisionamiento de certificados falla y el estado del certificado administrado cambia a Failed. Para resolver el problema, confirma lo siguiente:

Las restricciones de identidad del certificado permiten la transferencia de nombres alternativos de sujeto (SAN) y de sujeto.
La restricción de duración máxima del certificado es mayor que la duración del recurso de configuración de emisión de certificados.

En el caso de los problemas anteriores, como el servicio de AC ya emitió el certificado, se te factura según los precios del servicio de AC.

Si recibes el error Rejected for issuing certificates from the configured CA Pool, significa que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:

El modo de emisión del certificado permite solicitudes de firma de certificado (CSR).
Los tipos de claves permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se usa.

En el caso de los problemas anteriores, como el servicio de AC no emitió el certificado, no se te factura.

Problemas relacionados con la coincidencia de nombres de host de IAP

Si recibes el error The host name provided does not match the SSL certificate on the server de forma inesperada cuando usas el Administrador de certificados con Identity-Aware Proxy (IAP), verifica que estés usando un certificado válido para ese nombre de host. También muestra las entradas de mapa de certificados que configuraste en tu mapa de certificados. Cada nombre de host o nombre de host con comodín que quieras usar con IAP debe tener una entrada dedicada. Si falta la entrada del mapa de certificados para tu nombre de host, crea una entrada del mapa de certificados.

El IAP siempre rechaza las solicitudes que recurren a la entrada principal del mapa de certificados durante la selección de certificados.

Fallas en la validación de dominios multiperspectiva

Google Cloud renueva periódicamente tus certificados administrados por Google solicitándolos a las autoridades certificadoras (AC). Las AC con las que trabajaGoogle Cloud para renovar tus certificados usan un método de validación de dominios de múltiples perspectivas conocido como corroboración de emisión desde múltiples perspectivas (MPIC). Como parte de este proceso, las autoridades certificadoras verifican el control de dominios mediante la verificación de la configuración de DNS del dominio y, en el caso de la autorización del balanceador de cargas, intentan comunicarse con el servidor detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de vista en Internet. Si el proceso de validación falla, los certificados administrados por Google no se renuevan. Como resultado, tu balanceador de cargas entrega un certificado vencido a los clientes, lo que hace que los usuarios del navegador encuentren errores de certificado y que los clientes de la API experimenten fallas de conexión.

Para evitar fallas de validación de dominio multiperspectiva para registros DNS configurados de forma incorrecta, ten en cuenta lo siguiente:

Tus registros A de DNS (IPv4) y registros AAAA de DNS (IPv6) para tus dominios y cualquier subdominio deben apuntar solo a la dirección IP (o direcciones) asociadas con la regla o las reglas de reenvío del balanceador de cargas. La existencia de otras direcciones en el registro puede hacer que falle la validación.
La AC, que realiza la validación de los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de manera coherente a todas las solicitudes de validación de dominios globales.
El uso de GeoDNS (que muestra diferentes direcciones IP según la ubicación de la solicitud) o de políticas de DNS basadas en la ubicación puede generar respuestas incoherentes y hacer que falle la validación. Si tu proveedor de DNS usa GeoDNS, inhabilita esta función o asegúrate de que todas las regiones muestren la misma dirección IP del balanceador de cargas.
Si usas el método de autorización del balanceador de cargas para aprovisionar certificados administrados por Google, debes especificar de forma explícita las direcciones IP de tu balanceador de cargas en la configuración de DNS. Las capas intermedias, como una CDN, pueden causar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redireccionamientos, firewalls ni CDN en la ruta de la solicitud. Para obtener más información, consulta la sección Balanceadores de cargas detrás de una CDN en este documento.
Te recomendamos que uses un verificador de propagación global de DNS de tu elección para verificar que todos los registros DNS relevantes se resuelvan de forma correcta y coherente en todo el mundo.

Verifica los cambios de configuración

Después de configurar los registros DNS, puedes verificar que sean correctos. Para ello, crea un certificado nuevo y conéctalo al balanceador de cargas junto con el certificado existente. Este paso fuerza una verificación inmediata del aprovisionamiento de certificados con la AC, lo que te permite verificar los cambios de configuración en cuestión de minutos. Sin esto, las renovaciones automáticas del certificado existente pueden tardar días o semanas, lo que genera incertidumbre sobre la configuración.

Si el estado del certificado se convierte en ACTIVE, significa que se emitió el certificado, lo que confirma que la configuración de DNS es correcta. En este punto, te recomendamos que quites el certificado anterior para evitar tener dos certificados separados para el mismo dominio. Este proceso no interrumpe el tráfico a tu balanceador de cargas.

El nuevo certificado funciona como una herramienta de validación. Su creación confirma que la validación de dominios multiperspectiva con MPIC funciona correctamente para tu configuración.

Balanceadores de cargas detrás de una CDN

En el caso de los balanceadores de cargas que tienen CDN habilitada, es posible que algunos proveedores de CDN de terceros en la ruta de solicitud impidan que las solicitudes de validación se realicen correctamente. Esto puede ocurrir si el proveedor de CDN programa el tráfico HTTP(S) de forma activa con proxy.

En esos casos, te recomendamos que uses el método de autorización de DNS para aprovisionar certificados administrados por Google. El último enfoque no requiere que la AC se comunique con tu balanceador de cargas.

Soluciona problemas del Administrador de certificados Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.