이 페이지는 Cloud Translation API를 통해 번역되었습니다.

인증서 관리자 문제 해결
컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 인증서 관리자를 사용할 때 발생할 수 있는 가장 일반적인 오류를 설명합니다. 또한 이러한 오류를 진단하고 해결하는 단계를 제공합니다.

TLS(SSL) 인증서와 관련된 문제

TLS(SSL) 인증서와 관련된 문제 해결에 대한 도움말은 SSL 인증서 문제 해결을 참조하세요.

대상 프록시에서 인증서 맵을 분리할 때 오류 발생

대상 프록시에서 인증서 맵을 분리할 때 다음 오류가 발생합니다.

"There must be at least one certificate configured for a target proxy."

이 오류는 분리하려는 인증서 맵에 지정된 인증서 외에 대상 프록시에 할당된 인증서가 없는 경우에 발생합니다. 맵을 분리하려면 먼저 하나 이상의 인증서를 프록시에 직접 할당하세요.

인증서 맵 항목을 인증서와 연결할 때 오류 발생

인증서 맵 항목을 인증서와 연결할 때 다음 오류가 발생합니다.

"certificate can't be used more than 100 times"

이 오류는 인증서 맵 항목을 이미 100개의 인증서 맵 항목과 연결된 인증서와 연결하려고 할 때 발생합니다. 문제를 해결하려면 다음을 수행합니다.

Google 관리 인증서의 경우 다른 인증서를 만듭니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.
자체 관리형 인증서의 경우 새 이름으로 인증서를 다시 업로드합니다. 새 인증서 맵 항목을 이 새 인증서와 연결하고 새 인증서를 부하 분산기에 연결합니다.

CA 서비스 인스턴스에서 발급한 인증서 관련 문제

이 섹션에서는 인증서 관리자를 사용하여 CA 서비스 인스턴스에서 발급한 Google 관리형 인증서를 배포할 때 발생할 수 있는 가장 일반적인 오류와 가능한 원인을 설명합니다.

Failed to create Certificate Issuance Config resources 오류가 발생하면 다음을 확인하세요.

전체 기간. 유효한 인증서 수명 기간 값은 21~30일입니다.
순환 기간 비율. 유효한 순환 기간 비율은 1~99%입니다. 인증서 발급 후 최소 7일이 지나고 만료되기 최소 7일 전에 인증서가 갱신되도록 인증서 수명과 관련하여 순환 기간 비율을 설정해야 합니다.
키 알고리즘. 유효한 키 알고리즘 값은 RSA_2048 및 ECDSA_P256입니다.
CA 풀. CA 풀이 없거나 잘못 구성되었습니다. CA 풀에는 사용 설정된 CA가 하나 이상 포함되어야 하며 호출자는 대상 Google Cloud 프로젝트에 대한 privateca.capools.use 권한이 있어야 합니다. 리전 인증서의 경우 CA 풀과 동일한 위치에서 인증서 발급 구성 리소스를 만들어야 합니다.

Failed to create a managed certificate 오류가 발생하면 다음을 확인하세요.

인증서를 만들 때 지정한 인증서 발급 구성 리소스가 있습니다.
호출자가 인증서를 만들 때 지정한 인증서 발급 구성 리소스에 대한 certificatemanager.certissuanceconfigs.use 권한을 갖고 있습니다.
인증서가 인증서 발급 구성 리소스와 동일한 위치에 있습니다.

Failed to renew certificate 또는 Failed to provision certificate 오류가 발생하면 다음을 확인하세요.

인증서 관리자 서비스 계정이 이 인증서에 사용된 인증서 발급 구성 리소스에서 지정된 CA 풀에 대한 roles/privateca.certificateRequester 권한을 갖고 있습니다.

다음 명령어를 사용하여 대상 CA 풀의 권한을 확인합니다.
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
다음을 바꿉니다.
- CA_POOL: 대상 CA 풀의 전체 리소스 경로 및 이름입니다.
- REGION: 대상 Google Cloud 리전
인증서 발급 정책이 적용됩니다. 자세한 내용은 발급 정책 제한사항 관련 문제를 참조하세요.

발급 정책 제한 관련 문제

인증서 관리자가 인증서 발급 정책으로 발생된 인증서 변경사항을 지원하지 않는 경우 인증서 프로비저닝이 실패하고 관리형 인증서 상태가 Failed로 변경됩니다. 이 문제를 해결하려면 다음을 확인하세요.

인증서의 ID 제약조건이 주체 및 주체 대체 이름(SAN) 패스 스루를 허용합니다.
인증서의 최대 수명 기간 제약조건이 인증서 발급 구성 리소스의 수명 기간보다 큽니다.

앞의 문제의 경우 CA 서비스가 이미 인증서를 발급했으므로 CA 서비스 가격 책정에 따라 요금이 청구됩니다.

Rejected for issuing certificates from the configured CA Pool 오류가 발생하는 경우 이는 인증서 발급 정책이 요청된 인증서를 차단했음을 나타냅니다. 오류를 해결하려면 다음을 확인하세요.

인증서의 발급 모드가 인증서 서명 요청(CSR)을 허용합니다.
허용된 키 유형이 사용 중인 인증서 발급 구성 리소스의 키 알고리즘과 호환됩니다.

앞의 문제의 경우 CA 서비스가 인증서를 발급하지 않았기 때문에 CA 서비스로 요금이 청구되지 않습니다.

IAP 호스트 이름 일치 관련 문제

Identity-Aware Proxy(IAP)와 함께 인증서 관리자를 사용할 때 예기치 않게 The host name provided does not match the SSL certificate on the server 오류가 발생하면 해당 호스트 이름에 유효한 인증서를 사용하고 있는지 확인하세요. 또한 인증서 맵에서 구성한 인증서 맵 항목을 나열합니다. IAP와 함께 사용할 모든 호스트 이름 또는 와일드 카드 호스트 이름에는 전용 항목이 있어야 합니다. 호스트 이름의 인증서 맵 항목이 없으면 인증서 맵 항목을 만듭니다.

인증서 선택 중에 기본 인증서 맵 항목으로 대체되는 요청은 항상 IAP에서 거부됩니다.

다각도 도메인 유효성 검사 실패

Google Cloud 는 인증 기관 (CA)에서 Google 관리형 인증서를 요청하여 주기적으로 갱신합니다.Google Cloud 가 인증서를 갱신하기 위해 사용하는 CA는 다중 관점 발급 확인(MPIC)이라는 다중 관점 도메인 유효성 검사 방법을 사용합니다. 이 프로세스의 일환으로 인증 기관은 도메인의 DNS 설정을 확인하고 부하 분산기 승인의 경우 도메인의 IP 주소 뒤에 있는 서버에 연결을 시도하여 도메인 제어를 확인합니다. 이러한 인증은 인터넷 전반의 여러 관점에서 실시됩니다. 검증 프로세스가 실패하면 Google 관리 인증서가 갱신되지 않습니다. 그 결과 부하 분산기에서 클라이언트에 만료된 인증서를 제공하여 브라우저 사용자에게 인증서 오류가 발생하고 API 클라이언트에서 연결 실패가 발생합니다.

구성이 잘못된 DNS 레코드의 다각적 도메인 유효성 검사 실패를 방지하려면 다음 사항에 유의하세요.

도메인 및 하위 도메인의 DNS A 레코드(IPv4) 및 DNS AAAA(IPv6) 레코드는 부하 분산기의 전달 규칙과 연결된 IP 주소(들)만 가리킵니다. 레코드에 다른 주소가 있으면 유효성 검사가 실패할 수 있습니다.
DNS 레코드의 유효성 검사를 실행하는 CA는 여러 위치의 DNS 레코드를 쿼리합니다. DNS 제공업체가 모든 글로벌 도메인 유효성 검사 요청에 일관되게 응답하는지 확인합니다.
GeoDNS (요청 위치에 따라 다른 IP 주소 반환) 또는 위치 기반 DNS 정책을 사용하면 응답이 일관되지 않고 유효성 검사가 실패할 수 있습니다. DNS 제공업체에서 GeoDNS를 사용하는 경우 사용 중지하거나 모든 리전에서 동일한 부하 분산기 IP 주소를 반환하도록 합니다.
부하 분산기 승인 메서드를 사용하여 Google 관리형 인증서를 프로비저닝하는 경우 DNS 구성에서 부하 분산기의 IP 주소를 명시적으로 지정해야 합니다. CDN과 같은 중간 레이어로 인해 예측할 수 없는 동작이 발생할 수 있습니다. 요청 경로에 리디렉션, 방화벽 또는 CDN이 없어도 IP 주소에 직접 액세스할 수 있어야 합니다. 자세한 내용은 이 문서의 CDN 뒤의 부하 분산기 섹션을 참고하세요.
원하는 DNS 전 세계 전파 검사기를 사용하여 전 세계에서 모든 관련 DNS 레코드가 올바르고 일관되게 확인되는지 확인하는 것이 좋습니다.

구성 변경사항 확인

DNS 레코드를 구성한 후 새 인증서를 만들고 기존 인증서와 함께 부하 분산기에 연결하여 레코드가 올바른지 확인할 수 있습니다. 이 단계에서는 CA와 즉시 인증서 프로비저닝 확인을 강제하여 구성 변경사항을 몇 분 이내에 확인할 수 있습니다. 이 옵션을 사용하지 않으면 기존 인증서의 자동 갱신이 며칠 또는 몇 주가 걸릴 수 있으며 설정에 대한 불확실성이 남게 됩니다.

인증서 상태가 ACTIVE이면 인증서가 발급되었음을 나타내므로 DNS 구성이 올바르다는 의미입니다. 이 시점에서 동일한 도메인에 두 개의 별도 인증서가 생기지 않도록 이전 인증서를 삭제하는 것이 좋습니다. 이 프로세스는 부하 분산기로의 트래픽을 중단하지 않습니다.

새 인증서는 유효성 검사 도구로 사용됩니다. 인증서가 생성되면 MPIC를 사용한 다각도 도메인 유효성 검사가 설정에 올바르게 작동하는지 확인할 수 있습니다.

CDN 뒤의 부하 분산기

CDN이 사용 설정된 부하 분산기의 경우 요청 경로에 있는 일부 서드 파티 CDN 제공업체가 유효성 검사 요청이 성공하지 못하도록 할 수 있습니다. CDN 제공업체가 HTTP(S) 트래픽을 적극적으로 프록시하는 경우 발생할 수 있습니다.

이 경우 DNS 승인 메서드를 사용하여 Google 관리형 인증서를 프로비저닝하는 것이 좋습니다. 후자의 접근 방식은 CA가 부하 분산기에 문의할 필요가 없습니다.

인증서 관리자 문제 해결 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.