Risoluzione dei problemi relativi a Gestore dei certificati

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive gli errori più comuni che potresti riscontrare durante l'utilizzo di Gestore dei certificati. Fornisce inoltre i passaggi per diagnosticare e risolvere questi errori.

Problemi relativi ai certificati TLS (SSL)

Per assistenza in merito alla risoluzione dei problemi relativi ai certificati TLS (SSL), consulta la sezione Risoluzione dei problemi relativi ai certificati SSL.

Errore durante lo scollegamento di una mappa dei certificati da un proxy di destinazione

Quando stacca una mappa dei certificati da un proxy di destinazione, viene visualizzato il seguente errore:

"There must be at least one certificate configured for a target proxy."

Questo errore si verifica quando non sono assegnati certificati al proxy di destinazione diversi da quelli specificati nella mappa dei certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.

Errore durante l'associazione di una voce della mappa dei certificati a un certificato

Quando associ una voce della mappa di certificati a un certificato, ricevi il seguente errore:

"certificate can't be used more than 100 times"

Questo errore si verifica quando tenti di associare una voce di mappa di certificati a un certificato già associato a 100 voci di mappa di certificati. Per risolvere il problema:

• Per i certificati gestiti da Google, crea un altro certificato. Associa le voci della nuova mappa di certificati a questo nuovo certificato e allega il nuovo certificato al bilanciatore del carico.
• Per i certificati autogestiti, carica di nuovo il certificato con un nuovo nome. Associa le voci della mappa del nuovo certificato a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.

Problemi relativi ai certificati emessi da un'istanza di CA Service

Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Gestione certificati per implementare i certificati gestiti da Google emessi dall'istanza del servizio CA e le relative possibili cause.

Se ricevi l'errore Failed to create Certificate Issuance Config resources, controlla quanto segue:

• La durata. I valori validi per la durata del certificato vanno da 21 a 30 giorni.
• La percentuale della finestra di rotazione. Le percentuali della finestra di rotazione valide vanno da 1 a 99. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo del certificato avvenga almeno 7 giorni dopo la sua emissione e almeno 7 giorni prima della scadenza.
• L'algoritmo chiave. I valori validi per l'algoritmo chiave sono: RSA_2048 e ECDSA_P256.
• Il pool di CA. Il pool di CA non esiste o è configurato in modo errato. Il pool di CA deve contenere almeno una CA abilitata e l'utente chiamante deve disporre dell'autorizzazione privateca.capools.use per il progetto Google Cloud di destinazione. Per i certificati regionali, la risorsa di configurazione dell'emissione dei certificati deve essere creata nella stessa posizione del pool di CA.

Se ricevi un errore Failed to create a managed certificate, controlla quanto segue:

• La risorsa di configurazione dell'emissione dei certificati specificata al momento della creazione del certificato esiste.
• Il chiamante dispone dell'autorizzazione certificatemanager.certissuanceconfigs.use sulla risorsa di configurazione di emissione del certificato specificata durante la creazione del certificato.
• Il certificato si trova nella stessa posizione della risorsa di configurazione per la concessione dei certificati.

Se ricevi un errore Failed to renew certificate o Failed to provision certificate, controlla quanto segue:

• L'account di servizio Certificate Manager dispone dell'autorizzazione roles/privateca.certificateRequester per il pool di CA specificato nella risorsa di configurazione dell'emissione dei certificati utilizzata per questo certificato.

  Utilizza il seguente comando per controllare le autorizzazioni nel pool CA di destinazione:

  gcloud privateca pools get-iam-policy CA_POOL
  --location REGION
  

  Sostituisci quanto segue:

  • CA_POOL: il percorso completo e il nome della risorsa del pool di CA di destinazione
  • REGION: la regione Google Cloud di destinazione

• È in vigore un'norma sull'emissione di certificati. Per ulteriori informazioni, consulta la sezione Problemi relativi alle limitazioni delle norme di emissione.

Problemi relativi alle limitazioni delle norme relative al rilascio

Se Gestore certificati non supporta le modifiche apportate a un certificato dal criterio di emissione dei certificati, il provisioning del certificato non va a buon fine e lo stato del certificato gestito diventa Failed. Per risolvere il problema, verifica quanto segue:

• I vincoli di identità del certificato consentono il trasferimento di soggetto e nome alternativo dell'oggetto (SAN).
• Il vincolo della durata massima del certificato è superiore alla durata della risorsa di configurazione dell'emissione del certificato.

Per i problemi precedenti, poiché CA Service ha già emesso il certificato, ti verrà addebitato il costo in base ai prezzi di CA Service.

Se ricevi l'errore Rejected for issuing certificates from the configured CA Pool, significa che i criteri di rilascio dei certificati hanno bloccato il certificato richiesto. Per risolvere l'errore, verifica quanto segue:

• La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
• I tipi di chiavi consentiti sono compatibili con l'algoritmo di chiave della risorsa di configurazione dell'emissione del certificato in uso.

Per i problemi precedenti, poiché il servizio CA non ha emesso il certificato, non ti viene addebitato alcun importo.

Problemi relativi alla corrispondenza dei nomi host IAP

Se ricevi inaspettatamente l'errore The host name provided does not match the SSL certificate on the server quando utilizzi il gestore dei certificati con Identity-Aware Proxy (IAP), verifica di utilizzare un certificato valido per quel nome host. Elenca anche le voci della mappa di certificati che hai configurato nella mappa di certificati. Ogni nome host o nome host con caratteri jolly che intendi utilizzare con IAP deve avere una voce dedicata. Se la voce della mappa di certificati per il tuo nome host non è presente, crea una voce della mappa di certificati.

Le richieste che ricorrono alla voce della mappa del certificato principale durante la selezione del certificato vengono sempre rifiutate dall'IAP.

Errori di convalida del dominio da più punti di vista

Google Cloud rinnova periodicamente i certificati gestiti da Google richiedendoli alle autorità di certificazione (CA). Le CA con cuiGoogle Cloud collabora per rinnovare i certificati utilizzano un metodo di convalida del dominio multi-prospettiva noto come Multi-Perspective Issuance Corroboration (MPIC). Nell'ambito di questa procedura, le autorità di certificazione verificano il controllo del dominio controllando le impostazioni DNS del dominio e, nel caso dell'autorizzazione del bilanciatore del carico, tentando di contattare il server dietro l'indirizzo IP del dominio. Queste verifiche vengono eseguite da più punti di vista su internet. Se la procedura di convalida non va a buon fine, il rinnovo dei certificati gestiti da Google non va a buon fine. Di conseguenza, il bilanciatore del carico fornisce ai client un certificato scaduto, inducendo gli utenti del browser a riscontrare errori del certificato e i client API a verificare errori di connessione.

Per evitare errori di convalida del dominio multi-prospettiva per i record DNS configurati in modo errato, tieni presente quanto segue:

• I record DNS A (IPv4) e DNS AAAA (IPv6) per i tuoi domini e eventuali sottodomini devono puntare soltanto all'indirizzo IP o agli indirizzi IP associati alla regola o alle regole di inoltro del bilanciatore del carico. L'esistenza di altri indirizzi nel record può causare il fallimento della convalida.
• La CA, che esegue la convalida dei record DNS, esegue query su questi record da più posizioni. Assicurati che il tuo provider DNS risponda in modo coerente a tutte le richieste di convalida del dominio globale.
• L'utilizzo di GeoDNS (che restituisce indirizzi IP diversi in base alla località della richiesta) o di criteri DNS basati sulla posizione può portare a risposte incoerenti e causare l'errore di convalida. Se il tuo provider DNS utilizza GeoDNS, disattivalo oppure assicurati che tutte le regioni restituiscano lo stesso indirizzo IP del bilanciatore del carico.
• Se utilizzi il metodo di autorizzazione del bilanciatore del carico per eseguire il provisioning dei certificati gestiti da Google, devi specificare esplicitamente gli indirizzi IP del bilanciatore del carico nella configurazione DNS. I livelli intermedi, come una CDN, possono causare comportamenti imprevedibili. L'indirizzo IP deve essere direttamente accessibile senza reindirizzamenti, firewall o CDN nel percorso della richiesta. Per saperne di più, consulta la sezione Bilanciatori del carico dietro una CDN di questo documento.
• Ti consigliamo di utilizzare uno strumento di controllo della propagazione DNS globale di tua scelta per verificare che tutti i record DNS pertinenti vengano risolti correttamente e in modo coerente in tutto il mondo.

Verificare le modifiche alla configurazione

Dopo aver configurato i record DNS, puoi verificare che siano corretti creando un nuovo certificato e collegandolo al bilanciatore del carico insieme al certificato esistente. Questo passaggio forza un controllo immediato del provisioning dei certificati con l'autorità di certificazione, consentendoti di verificare le modifiche alla configurazione in pochi minuti. In caso contrario, i rinnovi automatici del certificato esistente possono richiedere giorni o settimane, lasciando incertezza sulla configurazione.

Se lo stato del certificato diventa ACTIVE, indica che il certificato è stato emesso, confermando che la configurazione DNS è corretta. A questo punto, ti consigliamo di rimuovere il certificato precedente per evitare di avere due certificati distinti per lo stesso dominio. Questa procedura non interrompe il traffico verso il bilanciatore del carico.

Il nuovo certificato funge da strumento di convalida: la sua creazione conferma che la convalida del dominio multiprospettiva che utilizza MPIC funziona correttamente per la tua configurazione.

Bilanciatori del carico dietro una CDN

Per i bilanciatori del carico in cui è abilitata la CDN, alcuni fornitori di CDN di terze parti nel percorso della richiesta potrebbero impedire il buon esito delle richieste di convalida. Questo può accadere se il provider CDN esegue attivamente il proxy del traffico HTTP(S).

In questi casi, consigliamo di utilizzare il metodo di autorizzazione DNS per eseguire il provisioning dei certificati gestiti da Google. Quest'ultimo approccio non richiede alla CA di contattare il bilanciatore del carico.

Passaggi successivi

• Note di rilascio di Gestore certificati
• Assistenza per Gestore certificati