Esta página foi traduzida pela API Cloud Translation.

Solução de problemas do Gerenciador de certificados

Esta página descreve os erros mais comuns que você pode encontrar ao usar o Gerenciador de certificados. Ele também fornece etapas para diagnosticar e resolver esses erros.

Problemas relacionados aos certificados TLS (SSL)

Para receber ajuda na resolução de problemas relacionados aos certificados TLS (SSL), consulte Como solucionar problemas de SSL do Google Cloud.

Erro ao remover um mapa de certificado de um proxy de destino

Quando desanexar um mapa de certificado de um proxy de destino, será exibido o seguinte erro:

"There must be at least one certificate configured for a target proxy."

Esse erro ocorre quando não há certificados atribuídos ao proxy de destino. além daqueles especificados no mapa de certificado que você está tentando separar. Para remover o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.

Problemas relacionados a certificados emitidos por uma instância de serviço de AC

Esta seção lista os erros mais comuns que você pode encontrar ao usar Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela instância do CA Service e as possíveis causas.

Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:

O tempo de vida. Os valores válidos da validade do certificado são de 21 a 30 dias.
A porcentagem da janela de rotação. As porcentagens válidas da janela de rotação são: de 1% a 99%. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
O algoritmo de chave. Os valores válidos do algoritmo de chave são: RSA_2048 e ECDSA_P256.
O pool de ACs. O pool de ACs não existe ou está configurado incorretamente. O pool de ACs precisa conter pelo menos uma AC ativada, e o autor da chamada precisa ter a permissão privateca.capools.use no projeto do Google Cloud de destino. Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local do pool de ACs.

Se você receber um erro Failed to create a managed certificate, verifique o seguintes:

O recurso de configuração de emissão de certificados especificado ao criar o certificado.
O autor da chamada tem a permissão certificatemanager.certissuanceconfigs.use no recurso de configuração de emissão de certificado que você especificou ao criar o certificado.
O certificado está no mesmo local que o recurso de configuração de emissão.

Se você receber um erro Failed to renew certificate ou Failed to provision certificate, verifique o seguinte:

A conta de serviço do Certificate Manager tem a permissão roles/privateca.certificateRequester no pool de AC especificado no recurso de configuração de emissão de certificados usado para este certificado.

Use o seguinte comando para verificar as permissões no pool de ACs de destino:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Substitua:
- CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destino
- REGION: a região de destino do Google Cloud.
Uma emissão de certificado política está na efeito Para mais informações, consulte Problemas relacionados a restrições de política de emissão.

Problemas relacionados às restrições da política de emissão

Se o Gerenciador de certificados não oferecer suporte às alterações em uma certificado emitido pela política de emissão de certificados, provisionamento de certificados falha, e o estado do certificado gerenciado muda para Failed. Para resolver o problema, confirme o seguinte:

Restrições de identidade do certificado permitem o assunto e o nome alternativo do assunto (SAN, na sigla em inglês) passagem.
O ciclo de vida máximo do certificado for maior do que o ciclo de vida da emissão do certificado de configuração do Terraform.

Para os problemas anteriores, como o serviço de CA já emitiu o você será cobrado de acordo com a CA Service preços.

Se você receber o erro Rejected for issuing certificates from the configured CA Pool, isso indica que a política de emissão de certificados bloqueou o certificado solicitado. Para resolver o erro, verifique o seguinte:

O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs).
Os tipos de chave permitidos sejam compatíveis com algoritmo de chave do recurso de configuração de emissão de certificados que está sendo usado.

Para os problemas anteriores, como o CA Service não emitiu o erro certificado, você não será cobrado pelo serviço de AC.

Problemas relacionados à correspondência do nome do host do IAP

Se você receber a mensagem de erro The host name provided does not match the SSL certificate on the server inesperadamente, ao usar o Gerenciador de certificados com o Identity-Aware Proxy (IAP), verifique se você está usando um certificado válido para esse nome de host. Listar também entradas do mapa de certificados que você configurou no mapa de certificado. Cada nome do host ou caractere curinga que você pretende usar com o IAP precisa ter entrada. Se a entrada do mapa de certificado para seu nome de host estiver ausente, crie uma entrada do mapa de certificado.

Solicitações que recorrem à entrada do mapa do certificado principal durante seleção de certificados são sempre rejeitados pelo IAP.