排解憑證管理工具相關問題

本頁說明使用憑證管理工具時可能遇到的常見錯誤。並提供診斷和解決這些錯誤的步驟。

如需有關解決 TLS (SSL) 憑證相關問題的說明,請參閱「排解 SSL 憑證問題」。

從目標 Proxy 中卸除憑證對應時發生錯誤

從目標 Proxy 中卸除憑證對應時,您會收到以下錯誤:

"There must be at least one certificate configured for a target proxy."

除了您嘗試卸除的憑證對應項目中指定的憑證外,如果沒有其他憑證指派給目標 Proxy,就會發生這項錯誤。如要解除對應關係,請先將一或多個憑證直接指派給 Proxy。

將憑證對應項目與憑證建立關聯時發生錯誤

將憑證對應項目與憑證建立關聯時,您會收到以下錯誤:

"certificate can't be used more than 100 times"

當您嘗試將憑證對應項目與已與 100 個憑證對應項目相關聯的憑證建立關聯時,就會發生這個錯誤。如要解決這個問題,請按照下列步驟操作:

  • 如為 Google 代管的憑證,請建立另一個憑證。將新的憑證對應項目與新憑證建立關聯,並將新憑證附加至負載平衡器。
  • 如果是自行管理的憑證,請使用新名稱重新上傳憑證。將新的憑證對應項目與這項新憑證建立關聯,並將新憑證附加至負載平衡器。

與 CA 服務執行個體核發的憑證相關的問題

本節列出您在使用憑證管理工具部署由 CA 服務執行個體核發的 Google 管理憑證時,可能會遇到的常見錯誤,以及可能的原因。

如果您收到 Failed to create Certificate Issuance Config resources 錯誤,請檢查下列事項:

  • 生命週期。有效的憑證有效期限值介於 21 到 30 天。
  • 輪替期百分比。有效的輪替期百分比範圍為 1 到 99%。您必須根據憑證的效期設定輪替期百分比,這樣憑證會在核發後至少 7 天,以及到期前至少 7 天開始續約。
  • 金鑰演算法。有效的金鑰演算法值為:RSA_2048ECDSA_P256
  • CA 集區。CA 集區不存在或設定錯誤。CA 集區必須至少包含一個已啟用的 CA,且呼叫端必須對目標Google Cloud 專案擁有 privateca.capools.use 權限。針對區域憑證,憑證核發設定資源必須與 CA 集區位於相同位置。

如果收到 Failed to create a managed certificate 錯誤,請檢查下列事項:

  • 您在建立憑證時指定的憑證核發設定資源。
  • 呼叫端對您在建立憑證時指定的憑證核發設定資源擁有 certificatemanager.certissuanceconfigs.use 權限。
  • 憑證與憑證核發設定資源位於相同位置。

如果您收到 Failed to renew certificateFailed to provision certificate 錯誤,請檢查下列事項:

  • Certificate Manager 服務帳戶在用於此憑證的憑證核發設定資源中,對指定的 CA 集區具有 roles/privateca.certificateRequester 權限。

    使用下列指令檢查目標 CA 集區的權限:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    更改下列內容:

    • CA_POOL:目標 CA 集區的完整資源路徑和名稱
    • REGION:目標 Google Cloud 區域

  • 憑證核發政策已生效。詳情請參閱「與核發政策限制相關的問題」。

與核發政策限制相關的問題

如果憑證管理工具不支援憑證核發政策所做的憑證變更,憑證佈建作業就會失敗,且受管理憑證的狀態會變更為 Failed。如要解決這個問題,請確認下列事項:

  • 憑證的身分限制可允許主體和主體別名 (SAN) 傳送。
  • 憑證的最大生命週期限制大於憑證核發設定資源的生命週期。

對於先前的問題,由於 CA 服務已核發憑證,因此您會依據 CA 服務價格收費。

如果您收到 Rejected for issuing certificates from the configured CA Pool 錯誤,表示憑證核發政策已封鎖要求的憑證。如要解決錯誤,請檢查下列項目:

對於先前的事件,由於 CA 服務並未核發憑證,因此您不會向 CA 服務支付費用。

IAP 主機名稱比對相關問題

如果您在使用憑證管理工具搭配 Identity-Aware Proxy (IAP) 時,意外收到 The host name provided does not match the SSL certificate on the server 錯誤,請確認您使用的憑證是否適用於該主機名稱。並列出您在憑證對應關係中設定的憑證對應項目。您打算與 IAP 搭配使用的每個主機名稱或萬用字元主機名稱,都必須有專屬的項目。如果主機名稱的憑證對應項目遺失,請建立憑證對應項目

憑證選取期間,如果要求改用主要憑證對應項目,IAP 一律會拒絕。

多重觀點網域驗證失敗

Google Cloud 會定期向憑證授權單位 (CA) 索取 Google 代管憑證,Google Cloud 與之合作續發憑證的 CA 會使用多角度網域驗證方法,也就是「多角度核發佐證」(MPIC)。在這個程序中,憑證授權單位會檢查網域的 DNS 設定,藉此驗證網域控制權。如果是負載平衡器授權,則會嘗試與網域 IP 位址後方的伺服器聯絡。這些驗證作業會從網路上的多個角度進行。如果驗證程序失敗,Google 代管的憑證就無法續約。因此,負載平衡器會向用戶端提供已過期的憑證,導致瀏覽器使用者遇到憑證錯誤,而 API 用戶端則發生連線失敗。

為避免 DNS 記錄設定錯誤導致多重觀點網域驗證失敗,請注意下列事項:

  • 網域和任何子網域的 DNS A 記錄 (IPv4) 和 DNS AAAA (IPv6) 記錄指向與負載平衡器轉送規則相關聯的 IP 位址 (或多個 IP 位址)。記錄中存在任何其他地址都可能導致驗證失敗。
  • CA 會執行 DNS 記錄驗證,並查詢多個位置的 DNS 記錄。請確保 DNS 供應商對所有全球網域驗證要求一律回應。
  • 使用 GeoDNS (根據要求位置傳回不同的 IP 位址) 或以位置為依據的 DNS 政策,可能會導致回應不一致,並導致驗證失敗。如果 DNS 供應商使用 GeoDNS,請停用該功能,或確保所有區域都會傳回相同的負載平衡器 IP 位址。
  • 如果您使用負載平衡器授權方法來佈建 Google 代管憑證,則必須在 DNS 設定中明確指定負載平衡器的 IP 位址。CDN 等中介層可能會導致無法預測的行為。IP 位址必須可直接存取,且要求路徑中不得有任何重新導向、防火牆或 CDN。詳情請參閱本文件的「CDN 後方的負載平衡器」一節。
  • 建議您使用所選的 DNS 全球傳播檢查工具,確認所有相關 DNS 記錄在全球範圍內都能正確解析且一致。

確認設定變更

設定 DNS 記錄後,您可以建立新的憑證,並將其連結至負載平衡器和現有的憑證,藉此驗證 DNS 記錄是否正確。這個步驟會強制與憑證授權單位進行即時憑證佈建檢查,讓您在幾分鐘內驗證設定變更。否則,自動續約現有憑證可能需要數天或數週的時間,導致設定不確定。

如果憑證狀態變成 ACTIVE,表示憑證已核發,因此可確認 DNS 設定正確無誤。此時,建議您移除先前的憑證,以免同一個網域有兩個不同的憑證。這項程序不會中斷負載平衡器的流量。

新憑證可做為驗證工具,建立新憑證後,系統會確認使用 MPIC 的多重視角網域驗證功能是否能正確運作。

CDN 後方的負載平衡器

如果負載平衡器已啟用 CDN,要求路徑中的部分第三方 CDN 供應商可能會導致驗證要求失敗。如果 CDN 供應商正在主動代理 HTTP(S) 流量,就可能發生這種情況。

在這種情況下,建議您使用 DNS 授權方法來佈建 Google 管理的憑證。後者不需要 CA 與負載平衡器聯絡。

後續步驟