Solução de problemas do Gerenciador de certificados

Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.

Para receber ajuda com a resolução de problemas relacionados a certificados TLS (SSL), consulte Solução de problemas de certificados SSL.

Erro ao desconectar um mapa de certificado de um proxy de destino

Ao desanexar um mapa de certificado de um proxy de destino, você recebe o seguinte erro:

"There must be at least one certificate configured for a target proxy."

Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificado que você está tentando desconectar. Para desconectar o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.

Erro ao associar uma entrada do mapa de certificados a um certificado

Ao associar uma entrada do mapa de certificados a um certificado, você recebe o seguinte erro:

"certificate can't be used more than 100 times"

Esse erro ocorre quando você tenta associar uma entrada do mapa de certificados a um certificado que já está associado a 100 entradas do mapa de certificados. Para resolver o problema, faça o seguinte:

  • Para certificados gerenciados pelo Google, crie outro certificado. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
  • Para certificados autogerenciados, faça upload do certificado novamente com um novo nome. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.

Problemas relacionados a certificados emitidos por uma instância do serviço de AC

Esta seção lista os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância do serviço de AC e as possíveis causas deles.

Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:

  • O tempo de vida. Os valores válidos da validade do certificado são de 21 a 30 dias.
  • A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99 por cento. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
  • O algoritmo de chave. Os valores válidos do algoritmo de chave são: RSA_2048 e ECDSA_P256.
  • O pool de ACs. O pool de ACs não existe ou está configurado incorretamente. O pool de ACs precisa conter pelo menos uma AC ativada, e o autor da chamada precisa ter a permissão privateca.capools.use no projeto do Google Cloud de destino. Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local do pool de ACs.

Se você receber um erro Failed to create a managed certificate, verifique o seguinte:

  • O recurso de configuração de emissão de certificado que você especificou ao criar o certificado existe.
  • O autor da chamada tem a permissão certificatemanager.certissuanceconfigs.use no recurso de configuração de emissão de certificado que você especificou ao criar o certificado.
  • O certificado está no mesmo local que o recurso de configuração de emissão de certificados.

Se você receber um erro Failed to renew certificate ou Failed to provision certificate, verifique o seguinte:

  • A conta de serviço do Certificate Manager tem a permissão roles/privateca.certificateRequester no pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.

    Use o comando a seguir para verificar as permissões no pool de AC de destino:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    Substitua:

    • CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destino
    • REGION: a região Google Cloud de destino

  • Uma política de emissão de certificados está em vigor. Para mais informações, consulte Problemas relacionados a restrições de política de emissão.

Problemas relacionados a restrições de políticas de emissão

Se o Gerenciador de certificados não oferecer suporte às mudanças em um certificado feitas pela política de emissão de certificados, o provisionamento de certificados vai falhar e o estado do certificado gerenciado vai mudar para Failed. Para resolver o problema, confirme o seguinte:

  • As restrições de identidade do certificado permitem a transmissão do assunto e do nome alternativo do assunto (SAN, na sigla em inglês).
  • A restrição de ciclo de vida máximo do certificado é maior do que o ciclo de vida do recurso de configuração de emissão do certificado.

Para os problemas anteriores, como o serviço de CA já emitiu o certificado, você vai receber uma cobrança de acordo com os preços do serviço de CA.

Se você receber o erro Rejected for issuing certificates from the configured CA Pool, isso indica que a política de emissão de certificados bloqueou o certificado solicitado. Para resolver o erro, verifique o seguinte:

  • O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs).
  • Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração de emissão de certificado usado.

Para os problemas anteriores, como o serviço de AC não emitiu o certificado, você não recebeu cobranças dele.

Problemas relacionados à correspondência de nome de host do IAP

Se você receber o erro The host name provided does not match the SSL certificate on the server de forma inesperada ao usar o Gerenciador de certificados com o Identity-Aware Proxy (IAP), verifique se está usando um certificado válido para esse nome de host. Também listar entradas de mapa de certificado configuradas no mapa de certificado. Cada nome de host ou nome de host curinga que você pretende usar com o IAP precisa ter uma entrada dedicada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma entrada do mapa de certificado.

As solicitações que usam a entrada do mapa de certificado principal durante a seleção de certificado são sempre rejeitadas pelo IAP.

Falhas na validação de domínio com várias perspectivas

OGoogle Cloud renova periodicamente seus certificados gerenciados pelo Google solicitando-os a autoridades certificadoras (ACs). As ACs com que Google Cloud trabalha para renovar seus certificados usam um método de validação de domínio multiperspectiva conhecido como Multi-Perspective Issuance Corroboration (MPIC). Como parte desse processo, as autoridades certificadoras verificam o controle do domínio analisando as configurações de DNS do domínio e, no caso de autorização de balanceador de carga, tentam entrar em contato com o servidor por trás do endereço IP do domínio. Essas verificações são realizadas de vários pontos de vista na Internet. Se o processo de validação falhar, os certificados gerenciados pelo Google não serão renovados. Como resultado, o balanceador de carga serve um certificado expirado aos clientes, fazendo com que os usuários do navegador encontrem erros de certificado e os clientes da API sofram falhas de conexão.

Para evitar falhas de validação de domínio de várias perspectivas em registros DNS configurados incorretamente, observe o seguinte:

  • Seus registros A de DNS (IPv4) e AAAA de DNS (IPv6) para seus domínios e subdomínios apontam somente para o endereço IP (ou endereços) associado à regra de encaminhamento do balanceador de carga. A existência de outros endereços no registro pode causar a falha da validação.
  • A AC, que realiza a validação de registros DNS, consulta registros DNS de vários locais. Verifique se o provedor de DNS responde de forma consistente a todas as solicitações de validação de domínio global.
  • O uso de GeoDNS (que retorna endereços IP diferentes com base no local da solicitação) ou políticas de DNS com base na localização pode gerar respostas inconsistentes e causar falha na validação. Se o provedor de DNS usar o GeoDNS, desative-o ou verifique se todas as regiões retornam o mesmo endereço IP do balanceador de carga.
  • Se você estiver usando o método de autorização do balanceador de carga para provisionar certificados gerenciados pelo Google, especifique explicitamente os endereços IP do balanceador de carga na configuração de DNS. Camadas intermediárias, como um CDN, podem causar um comportamento imprevisível. O endereço IP precisa ser acessível diretamente sem redirecionamentos, firewalls ou CDNs no caminho da solicitação. Para saber mais, consulte a seção Balanceadores de carga por trás de um CDN neste documento.
  • Recomendamos que você use um verificador de propagação global de DNS de sua escolha para verificar se todos os registros DNS relevantes são resolvidos corretamente e de forma consistente em todo o mundo.

Verificar mudanças de configuração

Depois de configurar os registros DNS, verifique se eles estão corretos criando um novo certificado e conectando-o ao balanceador de carga com o certificado atual. Esta etapa força uma verificação imediata do provisionamento de certificados com a AC, permitindo que você verifique as mudanças de configuração em minutos. Sem isso, as renovações automáticas do certificado atual podem levar dias ou semanas, deixando a configuração incerta.

Se o status do certificado for ACTIVE, isso indica que o certificado foi emitido, confirmando que a configuração de DNS está correta. Nesse ponto, recomendamos que você remova o certificado anterior para evitar ter dois certificados separados para o mesmo domínio. Esse processo não interrompe o tráfego para o balanceador de carga.

O novo certificado serve como uma ferramenta de validação. A criação dele confirma que a validação de domínio de várias perspectivas usando o MPIC funciona corretamente para sua configuração.

Balanceadores de carga por trás de uma CDN

Para balanceadores de carga com o CDN ativado, alguns provedores de CDN de terceiros no caminho de solicitação podem impedir o sucesso de solicitações de validação. Isso pode acontecer se o provedor de CDN estiver fazendo proxy do tráfego HTTP(S) ativamente.

Nesses casos, recomendamos usar o método de autorização de DNS para provisionar certificados gerenciados pelo Google. A segunda abordagem não exige que a AC entre em contato com o balanceador de carga.

A seguir