Certificate Manager のトラブルシューティング

このページでは、Certificate Manager の使用時に発生する可能性のある一般的なエラーについて説明します。また、これらのエラーを診断して解決する手順も示します。

TLS(SSL)証明書に関連する問題を解決するには、SSL 証明書のトラブルシューティングをご覧ください。

ターゲット プロキシから証明書マップを切断するときに発生するエラー

ターゲット プロキシから証明書マップを切断すると、次のエラーが表示されます。

"There must be at least one certificate configured for a target proxy."

このエラーは、切断する証明書マップで指定された証明書以外のターゲット プロキシに割り当てられた証明書がない場合に発生します。 マップを切断するには、まず 1 つ以上の証明書をプロキシに直接割り当てます。

証明書マップエントリを証明書に関連付けるときのエラー

証明書マップエントリを証明書に関連付けると、次のエラーが発生します。

"certificate can't be used more than 100 times"

このエラーは、すでに 100 個の証明書マップエントリに関連付けられている証明書に証明書マップエントリを関連付けようとした場合に発生します。この問題を解決するには、次の操作を行います。

  • Google マネージド証明書の場合は、別の証明書を作成します。新しい証明書マップエントリをこの新しい証明書に関連付け、新しい証明書をロードバランサに添付します。
  • セルフマネージド証明書の場合は、新しい名前で証明書を再度アップロードします。新しい証明書マップエントリをこの新しい証明書に関連付け、新しい証明書をロードバランサに添付します。

CA Service インスタンスによって発行された証明書に関連する問題

このセクションでは、Certificate Manager を使用して CA Service インスタンスによって発行された Google マネージド証明書をデプロイするときに発生する可能性がある最も一般的なエラーと、それらの考えられる原因について説明します。

Failed to create Certificate Issuance Config resources エラーが発生した場合は、次の点を確認してください。

  • 存続期間。証明書の有効な存続時間の値は 21 ~ 30 日間です。
  • ローテーション時間枠の割合。有効なローテーション時間枠の割合は 1~99 パーセントです。証明書の更新が、証明書の発行の 7 日以上後、期限切れの 7 日以上前に行われるように、証明書の有効期間を基準にしてローテーション ウィンドウの割合を設定する必要があります。
  • 鍵アルゴリズム。有効な鍵アルゴリズムの値は RSA_2048ECDSA_P256 です。
  • CA プール。CA プールが存在しないか、正しく構成されていません。CA プールには、有効な CA が 1 つ以上含まれている必要があり、呼び出し元には、ターゲットの Google Cloud プロジェクトに対する privateca.capools.use 権限が必要です。リージョン証明書の場合、証明書発行構成リソースは CA プールと同じロケーションに作成する必要があります。

Failed to create a managed certificate エラーが発生した場合は、次の点を確認してください。

  • 証明書の作成時に指定した証明書発行の構成リソースが存在している。
  • 呼び出し元に、証明書の作成時に指定した証明書発行の構成リソースに対する certificatemanager.certissuanceconfigs.use 権限がある。
  • 証明書は、証明書発行構成リソースと同じロケーションにあります。

Failed to renew certificate エラーまたは Failed to provision certificate エラーが発生した場合は、次の点を確認してください。

  • Certificate Manager サービス アカウントには、この証明書に使用される証明書発行の構成リソースで指定された CA プールに対する roles/privateca.certificateRequester 権限が付与されています。

    ターゲット CA プールの権限を確認するには、次のコマンドを使用します。

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    以下のように置き換えます。

    • CA_POOL: ターゲット CA プールの完全なリソースパスと名前
    • REGION: ターゲットの Google Cloud リージョン。
  • 証明書発行ポリシーが有効になっています。詳しくは、発行ポリシーの制限に関する問題をご覧ください。

発行ポリシーの制限に関する問題

Certificate Manager が、証明書発行ポリシーによって作成された証明書への変更をサポートしていない場合、証明書のプロビジョニングは失敗し、マネージド証明書の状態は Failed に変わります。この問題を解決するには、次の点を確認します。

  • 証明書の ID 制約で、サブジェクトとサブジェクト代替名(SAN)のパススルーが許可されている。
  • 証明書の最大有効期間の制約が、証明書発行の構成リソースの全期間よりも長い。

前述の問題では、CA Service がすでに証明書を発行しているため、CA Service の料金に従って課金されます。

エラー Rejected for issuing certificates from the configured CA Pool が返された場合は、証明書発行ポリシーによって、要求された証明書がブロックされていることを示します。このエラーを解決するには、以下の点を確認してください。

前述の問題では、CA Service が証明書を発行していないため、CA Service から課金されません。

IAP ホスト名の照合に関する問題

Identity-Aware Proxy(IAP)で Certificate Manager を使用しているときに、予期せず The host name provided does not match the SSL certificate on the server というエラーが発生した場合は、そのホスト名で有効な証明書を使用していることを確認します。また、証明書マップ上で構成した証明書マップエントリを一覧表示します。IAP で使用するすべてのホスト名またはワイルドカード ホスト名に、専用のエントリが必要です。ホスト名の証明書マップエントリがない場合は、証明書マップエントリを作成します。

証明書の選択中にプライマリ証明書マップエントリにフォールバックするリクエストは、常に IAP によって拒否されます。