Fehlerbehebung beim Zertifikat-Manager

Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung von Certificate Manager auftreten können. Außerdem finden Sie dort Schritte zur Diagnose und Behebung dieser Fehler.

Informationen zum Beheben von Problemen mit TLS-Zertifikaten (SSL) finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.

Fehler im Zusammenhang mit Zertifikatmanager-Zertifikaten

Dieser Abschnitt enthält Informationen zur Fehlerbehebung für Fehler im Zusammenhang mit dem Feld authorizationAttemptInfo von von Google verwalteten Certificate Manager-Zertifikaten. Die Fehler werden im Bereich managed.authorizationAttemptInfo.troubleshooting nur angezeigt, wenn die folgenden Felder diese Werte haben:

  • managed.authorizationAttemptInfo.state = FAILED
  • managed.authorizationAttemptInfo.failureReason = CONFIG

Weitere Informationen zu den Fehlern und ihrer Behebung finden Sie in der folgenden Tabelle:

Fehler Beschreibung
CNAME_MISMATCH Dieser Fehler tritt nur bei DNS-Autorisierungen auf, wenn der Wert des erwarteten CNAME-Eintrags nicht mit dem Wert des aufgelösten CNAME-Eintrags übereinstimmt.

Um dieses Problem zu beheben, fügen Sie Ihrer DNS-Konfiguration den erwarteten CNAME-Eintrag hinzu. Weitere Informationen finden Sie im Abschnitt CNAME-Eintrag zu DNS-Konfiguration hinzufügen.

RESOLVED_TO_NOT_SERVING Dieser Fehler tritt auf, wenn die Domain DNS-Einträge vom Typ A und AAAA enthält, die auf bestimmte IP-Adressen verweisen, an denen das Zertifikat keinem Load-Balancer zugeordnet ist.

Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate nur nach der Konfiguration des Load-Balancers mithilfe der Load-Balancer-Autorisierung bereitstellen.

Zur Behebung dieses Problems aktualisieren Sie die DNS-A- und AAAA-Einträge der Domain so, dass sie auf die IP-Adresse des Load-Balancers verweisen. Die IP-Adressen, die aus den DNS-Einträgen A und AAAA der Domain aufgelöst werden, werden im Parameter ips.resolved gespeichert. Die IP-Adressen des Load-Balancers, an die dieses Zertifikat angehängt ist, werden im Parameter ips.serving gespeichert.

Die DNS-Einträge A und AAAA der Domain müssen nur auf die IP-Adresse des Load-Balancers verweisen. Wenn beispielsweise ein DNS-A-Eintrag auf die IP-Adresse des Load Balancers verweist, der DNS-AAAA-Eintrag aber auf eine andere IP-Adresse, tritt der Fehler RESOLVED_TO_NOT_SERVING auf.

Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge A und AAAA der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.

NO_RESOLVED_IPS Dieser Fehler tritt auf, wenn die Domain keine DNS-Einträge vom Typ A und AAAA enthält.

Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate nur nach der Konfiguration des Load-Balancers mithilfe der Load-Balancer-Autorisierung bereitstellen.

Fügen Sie zur Behebung dieses Problems DNS-Einträge vom Typ A und AAAA für diese Domain hinzu und achten Sie darauf, dass die Einträge auf die IP-Adresse des Ziel-HTTPS-Proxys oder des Media CDN-Edge-Cache-Dienstes verweisen.

Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge A und AAAA der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.

RESOLVED_TO_SERVING_ON_ALT_PORTS Dieser Fehler tritt auf, wenn die Domain, die DNS-Einträge vom Typ A und AAAA enthält, auf die IP-Adressen eines Load-Balancers verweist, an den dieses Zertifikat angehängt ist, aber Port 443 auf diesen IP-Adressen nicht geöffnet ist.

Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate nur nach der Konfiguration des Load-Balancers mithilfe der Load-Balancer-Autorisierung bereitstellen.

Achten Sie zur Behebung dieses Problems darauf, dass der Load Balancer mit dem angehängten Zertifikat auf Port 443 lauscht. Im Parameter ips.serving_on_alt_ports wird die Liste der Load-Balancer-IP-Adressen gespeichert, für die Port 443 nicht geöffnet ist.

Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge A und AAAA der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.

CERTIFICATE_NOT_ATTACHED Dieser Fehler tritt auf, wenn das Zertifikat nicht an einen Load Balancer angehängt ist. Um dieses Problem zu beheben, muss das Zertifikat an einen Load Balancer angehängt sein. Weitere Informationen finden Sie im Abschnitt Zertifikat für einen Load Balancer bereitstellen.

Dieser Fehler tritt auch auf, wenn ein Zertifikat Teil einer Zertifikatszuordnung ist, die an einen Ziel-HTTPS-Proxy angehängt ist, der Proxy aber nicht an eine Weiterleitungsregel angehängt ist. Um dieses Problem zu beheben, hängen Sie den Ziel-HTTPS-Proxy an die entsprechende Weiterleitungsregel an. Weitere Informationen finden Sie unter Zielproxys und Weiterleitungsregeln.

Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate nur nach der Konfiguration des Load-Balancers mithilfe der Load-Balancer-Autorisierung bereitstellen.

Fehler beim Trennen einer Zertifikatszuordnung von einem Zielproxy

Wenn Sie eine Zertifikatszuordnung von einem Ziel-Proxy trennen, erhalten Sie den folgenden Fehler:

"There must be at least one certificate configured for a target proxy."

Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate zugewiesen sind als die in der Zertifikatszuordnung, die Sie trennen möchten. Wenn Sie die Zuordnung trennen möchten, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.

Fehler beim Zuordnen eines Zertifikatszuordnungseintrags zu einem Zertifikat

Wenn Sie einen Eintrag der Zertifikatszuordnung mit einem Zertifikat verknüpfen, erhalten Sie den folgenden Fehler:

"certificate can't be used more than 100 times"

Dieser Fehler tritt auf, wenn Sie versuchen, einen Eintrag der Zertifikatszuordnung mit einem Zertifikat zu verknüpfen, das bereits mit 100 Einträgen der Zertifikatszuordnung verknüpft ist. So beheben Sie das Problem:

  • Erstellen Sie für von Google verwaltete Zertifikate ein weiteres Zertifikat. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.
  • Laden Sie selbstverwaltete Zertifikate mit einem neuen Namen noch einmal hoch. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.

Probleme im Zusammenhang mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden

In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die bei der Bereitstellung von von Google verwalteten Zertifikaten auftreten können, die von Ihrer CA Service-Instanz ausgestellt wurden, sowie die möglichen Ursachen.

Wenn Sie den Fehler Failed to create Certificate Issuance Config resources erhalten, prüfen Sie Folgendes:

  • Die Lebensdauer. Gültige Werte für die Gültigkeitsdauer des Zertifikats liegen zwischen 21 und 30 Tagen.
  • Prozentsatz des Rotationsfensters. Gültige Prozentsätze für das Rotationsfenster liegen zwischen 1 und 99 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslaufzeit so festlegen, dass die Zertifikatsverlängerung mindestens 7 Tage nach der Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.
  • Der Schlüsselalgorithmus. Gültige Werte für den Schlüsselalgorithmus sind RSA_2048 und ECDSA_P256.
  • Der CA-Pool. Der Zertifizierungsstellenpool ist entweder nicht vorhanden oder falsch konfiguriert. Der CA-Pool muss mindestens eine aktivierte Zertifizierungsstelle enthalten und der Aufrufer muss die Berechtigung privateca.capools.use für das ZielprojektGoogle Cloud haben. Bei regionalen Zertifikaten muss die Konfigurationsressource für die Zertifikatausstellung am selben Standort wie der CA-Pool erstellt werden.

Wenn Sie den Fehler Failed to create a managed certificate erhalten, prüfen Sie Folgendes:

  • Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
  • Der Aufrufer hat die Berechtigung certificatemanager.certissuanceconfigs.use für die Konfigurationsressource für die Zertifikatausstellung, die Sie beim Erstellen des Zertifikats angegeben haben.
  • Das Zertifikat befindet sich am selben Speicherort wie die Ressource für die Zertifikatausstellungskonfiguration.

Wenn Sie einen Failed to renew certificate- oder Failed to provision certificate-Fehler erhalten, prüfen Sie Folgendes:

  • Das Certificate Manager-Dienstkonto hat die Berechtigung roles/privateca.certificateRequester für den Zertifizierungsstellenpool, der in der für dieses Zertifikat verwendeten Konfigurationsressource für die Zertifikatsausstellung angegeben ist.

    Verwenden Sie den folgenden Befehl, um die Berechtigungen für den Ziel-CA-Pool zu prüfen:

    gcloud privateca pools get-iam-policy CA_POOL
    --location REGION
    

    Ersetzen Sie Folgendes:

    • CA_POOL: der vollständige Ressourcenpfad und Name des Ziel-CA-Pools
    • REGION: die Google Cloud Zielregion
  • Es gilt eine Richtlinie zur Zertifikatausstellung. Weitere Informationen finden Sie unter Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie.

Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie

Wenn Certificate Manager die Änderungen an einem Zertifikat, die durch die Richtlinie zur Zertifikatausstellung vorgenommen wurden, nicht unterstützt, schlägt die Zertifikatbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich zu Failed. Prüfen Sie Folgendes, um das Problem zu beheben:

Für die vorherigen Probleme wird Ihnen gemäß der CA Service-Preisgestaltung in Rechnung gestellt, da CA Service das Zertifikat bereits ausgestellt hat.

Wenn Sie den Fehler Rejected for issuing certificates from the configured CA Pool erhalten, bedeutet das, dass die Richtlinie zur Zertifikatsausstellung das angeforderte Zertifikat blockiert hat. Prüfen Sie Folgendes, um den Fehler zu beheben:

  • Der Ausstellungsmodus des Zertifikats lässt Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSRs) zu.
  • Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Zertifikatausstellungskonfigurationsressource kompatibel.

Bei den vorherigen Problemen wird Ihnen der CA-Dienst nicht in Rechnung gestellt, da das Zertifikat nicht vom CA-Dienst ausgestellt wurde.

Probleme im Zusammenhang mit dem IAP-Hostnamenabgleich

Wenn Sie bei der Verwendung von Certificate Manager mit Identity-Aware Proxy (IAP) unerwartet den Fehler The host name provided does not match the SSL certificate on the server erhalten, prüfen Sie, ob Sie ein Zertifikat verwenden, das für diesen Hostnamen gültig ist. Zertifikatszuordnungseinträge auflisten, die Sie für Ihre Zertifikatszuordnung konfiguriert haben. Jeder Hostname oder Wildcard-Hostname, den Sie mit IAP verwenden möchten, muss einen eigenen Eintrag haben. Wenn der Eintrag der Zertifikatszuordnung für Ihren Hostnamen fehlt, erstellen Sie einen Eintrag der Zertifikatszuordnung.

Anfragen, die während der Zertifikatsauswahl auf den primären Zertifikatszuordnungseintrag zurückgreifen, werden von IAP immer abgelehnt.

Fehler bei der Domainvalidierung aus mehreren Perspektiven

Google Cloud verlängert Ihre von Google verwalteten Zertifikate regelmäßig, indem sie sie bei Zertifizierungsstellen (Certificate Authorities, CAs) anfordert. Die Zertifizierungsstellen, mit denenGoogle Cloud zum Erneuern Ihrer Zertifikate zusammenarbeitet, verwenden eine Multi-Perspective-Domainvalidierungsmethode namens Multi-Perspective Issuance Corroboration (MPIC). Im Rahmen dieses Prozesses überprüfen die Zertifizierungsstellen die Domainkontrolle, indem sie die DNS-Einstellungen der Domain prüfen und im Fall der Load-Balancer-Autorisierung versuchen, den Server hinter der IP-Adresse der Domain zu kontaktieren. Diese Überprüfungen werden von mehreren Standorten im Internet aus durchgeführt. Wenn die Validierung fehlschlägt, können von Google verwaltete Zertifikate nicht verlängert werden. Infolgedessen stellt Ihr Load-Balancer Clients ein abgelaufenes Zertifikat bereit, was dazu führt, dass Browsernutzer Zertifikatsfehler und API-Clients Verbindungsfehler erhalten.

Damit die Domainvalidierung aus mehreren Perspektiven aufgrund falsch konfigurierter DNS-Einträge nicht fehlschlägt, beachten Sie Folgendes:

  • Ihre DNS-A-Einträge (IPv4) und DNS-AAAA-Einträge (IPv6) für Ihre Domains und Subdomains verweisen nur auf die IP-Adresse (n), die der Weiterleitungsregel (oder den Weiterleitungsregeln) des Load-Balancers zugeordnet sind. Das Vorhandensein anderer Adressen im Datensatz kann dazu führen, dass die Validierung fehlschlägt.
  • Die Zertifizierungsstelle, die die Validierung von DNS-Einträgen durchführt, fragt DNS-Einträge von mehreren Standorten ab. Achten Sie darauf, dass Ihr DNS-Anbieter konsistent auf alle globalen Anfragen zur Domainbestätigung reagiert.
  • Die Verwendung von GeoDNS (Rückgabe unterschiedlicher IP-Adressen basierend auf dem Standort der Anfrage) oder standortbezogenen DNS-Richtlinien kann zu inkonsistenten Antworten führen und dazu, dass die Validierung fehlschlägt. Wenn Ihr DNS-Anbieter GeoDNS verwendet, deaktivieren Sie es oder sorgen Sie dafür, dass in allen Regionen dieselbe IP-Adresse des Load-Balancers zurückgegeben wird.
  • Wenn Sie die Methode Load-Balancer-Autorisierung verwenden, um von Google verwaltete Zertifikate bereitzustellen, müssen Sie die IP-Adressen Ihres Load-Balancers explizit in Ihrer DNS-Konfiguration angeben. Zwischenschichten wie ein CDN können zu unvorhersehbarem Verhalten führen. Die IP-Adresse muss direkt zugänglich sein, ohne dass Weiterleitungen, Firewalls oder CDNs im Anforderungspfad vorhanden sind. Weitere Informationen finden Sie in diesem Dokument im Abschnitt Load-Balancer hinter einem CDN.
  • Wir empfehlen, mit einem DNS-Checker Ihrer Wahl zu prüfen, ob alle relevanten DNS-Einträge weltweit korrekt und konsistent aufgelöst werden.

Konfigurationsänderungen überprüfen

Nachdem Sie Ihre DNS-Einträge konfiguriert haben, können Sie überprüfen, ob sie korrekt sind, indem Sie ein neues Zertifikat erstellen und es zusammen mit dem vorhandenen Zertifikat mit Ihrem Load-Balancer verbinden. In diesem Schritt wird eine sofortige Überprüfung der Zertifikatsbereitstellung bei der Zertifizierungsstelle erzwungen. So können Sie Ihre Konfigurationsänderungen innerhalb weniger Minuten überprüfen. Andernfalls kann die automatische Verlängerung des vorhandenen Zertifikats Tage oder Wochen dauern, was zu Unsicherheit bezüglich Ihrer Einrichtung führt.

Wenn der Zertifikatsstatus ACTIVE lautet, wurde das Zertifikat ausgestellt. Das bedeutet, dass Ihre DNS-Konfiguration korrekt ist. Wir empfehlen Ihnen, das frühere Zertifikat zu entfernen, damit Sie nicht zwei separate Zertifikate für dieselbe Domain haben. Dieser Vorgang unterbricht den Traffic zu Ihrem Load-Balancer nicht.

Das neue Zertifikat dient als Validierungstool. Seine Erstellung bestätigt, dass die Multi-Perspective Identity Confirmation (MPIC) für Ihre Einrichtung korrekt funktioniert.

Load Balancer hinter einem CDN

Bei Load-Balancern, für die CDN aktiviert ist, verhindern einige CDN-Provider von Drittanbietern im Anfragepfad möglicherweise, dass Validierungsanfragen erfolgreich ausgeführt werden. Das kann auftreten, wenn der CDN-Provider HTTP(S)-Traffic aktiv weiterleitet.

In solchen Fällen empfehlen wir, von Google verwaltete Zertifikate mit der Methode DNS-Autorisierung bereitzustellen. Bei diesem Ansatz muss die Zertifizierungsstelle Ihren Load-Balancer nicht kontaktieren.

Nächste Schritte