Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le gestionnaire de certificats. Elle fournit également des étapes pour diagnostiquer et résoudre ces erreurs.
Problèmes liés aux certificats TLS (SSL)
Pour obtenir de l'aide sur la résolution des problèmes liés aux certificats TLS (SSL), consultez la section Résoudre les problèmes liés aux certificats SSL.
Erreurs liées aux certificats du gestionnaire de certificats
Cette section fournit des informations de dépannage pour les erreurs liées au champ authorizationAttemptInfo des certificats gérés par Google du gestionnaire de certificats. Les erreurs ne s'affichent dans la section managed.authorizationAttemptInfo.troubleshooting que lorsque les champs suivants ont ces valeurs :
managed.authorizationAttemptInfo.state = FAILEDmanaged.authorizationAttemptInfo.failureReason = CONFIG
Pour en savoir plus sur les erreurs et sur la manière de les résoudre, consultez le tableau suivant :
| Erreur | Description |
|---|---|
CNAME_MISMATCH |
Cette erreur ne se produit que pour les
autorisations DNS
lorsque la valeur de l'
enregistrement CNAME attendu ne correspond pas à la valeur de l'enregistrement
CNAME résolu.
Pour résoudre ce problème, ajoutez l'enregistrement CNAME attendu à votre configuration DNS configuration. Pour en savoir plus, consultez la section Ajouter l'enregistrement CNAME à votre configuration DNS. |
RESOLVED_TO_NOT_SERVING |
Cette erreur se produit lorsque le domaine contient des enregistrements DNS A et
AAAA qui pointent vers certaines adresses IP où le
certificat n'est associé à aucun équilibreur de charge.
L'erreur ne s'applique qu'aux certificats avec des autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation d'équilibreur de charge qu'après avoir configuré l'équilibreur de charge.
Pour résoudre ce problème,
mettez à jour les enregistrements DNS A et AAAA du domaine afin qu'ils pointent vers l'adresse IP de votre équilibreur de charge. Les adresses IP
résolues
à partir des enregistrements DNS
Les enregistrements DNS
Vous devez également vous assurer que les enregistrements DNS |
NO_RESOLVED_IPS |
Cette erreur se produit lorsque le domaine ne contient aucun enregistrement DNS A
et AAAA.
L'erreur ne s'applique qu'aux certificats avec des autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation d'équilibreur de charge qu'après avoir configuré l'équilibreur de charge.
Pour résoudre ce problème, ajoutez des enregistrements DNS
Vous devez également vous assurer que les enregistrements DNS |
RESOLVED_TO_SERVING_ON_ALT_PORTS |
Cette erreur se produit lorsque le domaine contenant des enregistrements DNS A et
AAAA pointe vers les adresses IP d'un équilibreur de charge auquel
ce certificat est associé, mais que le port 443
n'est pas ouvert sur ces adresses IP.
L'erreur ne s'applique qu'aux certificats avec des autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation d'équilibreur de charge qu'après avoir configuré l'équilibreur de charge.
Pour résoudre ce problème, assurez-vous que l'équilibreur de charge auquel le certificat est associé écoute sur le port
Vous devez également vous assurer que les enregistrements DNS |
CERTIFICATE_NOT_ATTACHED |
Cette erreur se produit lorsque le certificat n'est pas associé à un équilibreur de charge. Pour résoudre ce problème, assurez-vous que le certificat
est associé à un équilibreur de charge. Pour en savoir plus, consultez la
section Déployer le certificat sur un équilibreur de charge.
Cette erreur se produit également lorsqu'un certificat fait partie d'un mappage de certificats associé à un proxy HTTPS cible, mais que le proxy n'est pas associé à une règle de transfert. Pour résoudre ce problème, associez le proxy HTTPS cible à la règle de transfert appropriée. Pour en savoir plus, consultez les sections Présentation des proxys cibles et Présentation des règles de transfert. L'erreur ne s'applique qu'aux certificats avec des autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation d'équilibreur de charge qu'après avoir configuré l'équilibreur de charge. |
Erreur lors de la dissociation d'un mappage de certificats d'un proxy cible
Lorsque vous dissociez un mappage de certificats d'un proxy cible, l'erreur suivante s'affiche :
"There must be at least one certificate configured for a target proxy."
Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible, à l'exception de ceux spécifiés dans le mappage de certificats que vous essayez de dissocier. Pour dissocier le mappage, attribuez d'abord un ou plusieurs certificats directement au proxy.
Erreur lors de l'association d'une entrée de mappage de certificats à un certificat
Lorsque vous associez une entrée de mappage de certificats à un certificat, l'erreur suivante s'affiche :
"certificate can't be used more than 100 times"
Cette erreur se produit lorsque vous essayez d'associer une entrée de mappage de certificats à un certificat déjà associé à 100 entrées de mappage de certificats. Pour résoudre ce problème, procédez comme suit :
- Pour les certificats gérés par Google, créez un autre certificat. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis associez le nouveau certificat à l'équilibreur de charge.
- Pour les certificats autogérés, importez à nouveau le certificat avec un nouveau nom. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis associez le nouveau certificat à l'équilibreur de charge.
Problèmes liés aux certificats émis par une instance CA Service
Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le gestionnaire de certificats pour déployer des certificats gérés par Google émis par votre instance CA Service, ainsi que leurs causes possibles.
Si vous recevez l'erreur Failed to create Certificate Issuance Config resources, vérifiez les points suivants :
- La durée de vie. Les valeurs valides pour la durée de vie des certificats sont comprises entre 21 et 30 jours.
- Le pourcentage de la période de rotation. Les pourcentages valides pour la période de rotation sont compris entre 1 et 99 %. Vous devez définir le pourcentage de la période de rotation en fonction de la durée de validité du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration.
- L'algorithme de la clé. Les valeurs valides pour l'algorithme de la clé sont
RSA_2048etECDSA_P256. - Le pool d'autorités de certification. Le pool d'autorités de certification n'existe pas ou est mal configuré.
Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'
appelant doit disposer de l'autorisation
privateca.capools.usesur le projet Google Cloud cible. Pour les certificats régionaux, la ressource de configuration d'émission de certificats doit être créée au même emplacement que le pool d'autorités de certification.
Si vous recevez l'erreur Failed to create a managed certificate, vérifiez les points suivants :
- La ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat existe.
- L'appelant dispose de l'autorisation
certificatemanager.certissuanceconfigs.usesur la ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat. - Le certificat se trouve au même emplacement que la ressource de configuration d'émission de certificats.
Si vous recevez l'erreur Failed to renew certificate ou Failed to provision
certificate, vérifiez les points suivants :
Le compte de service du gestionnaire de certificats dispose de l'autorisation
roles/privateca.certificateRequestersur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.Exécutez la commande suivante pour vérifier les autorisations sur le pool d'autorités de certification cible :
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Remplacez les éléments suivants :
CA_POOL: chemin d'accès complet à la ressource et nom du pool d'autorités de certification cibleREGION: région cible Google Cloud
Une règle d'émission est en vigueur. Pour en savoir plus, consultez la section Problèmes liés aux restrictions de la règle d'émission.
Problèmes liés aux restrictions de la règle d'émission
Si le gestionnaire de certificats n'est pas compatible avec les modifications apportées à un certificat par la règle d'émission de certificats, le provisionnement du certificat échoue et l'état du certificat géré passe à Failed. Pour résoudre ce problème, vérifiez les points suivants :
- Les contraintes d'identité du certificat autorisent le transfert du sujet et de l'autre nom de l'objet (SAN) .
- La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration d'émission de certificats.
Pour les problèmes précédents, étant donné que CA Service a déjà émis le certificat, vous êtes facturé conformément à la tarification de CA Service pricing.
Si vous recevez l'erreur Rejected for issuing certificates from the configured
CA Pool, cela indique que la règle d'émission de certificats a bloqué le
certificat demandé. Pour résoudre cette erreur, vérifiez les points suivants :
- Le mode d'émission du certificat autorise les demandes de signature de certificat (CSR).
- Les types de clés autorisés sont compatibles avec l' algorithme de clé de la ressource de configuration d'émission de certificats utilisée.
Pour les problèmes précédents, étant donné que CA Service n'a pas émis le certificat, vous n'êtes pas facturé par CA Service.
Problèmes liés à la correspondance du nom d'hôte IAP
Si vous recevez de manière inattendue l'erreur The host name provided does not match the
SSL certificate on the server, lorsque vous utilisez le gestionnaire de certificats avec
Identity-Aware Proxy (IAP), vérifiez que vous utilisez un certificat valide pour ce nom d'hôte. Répertoriez également les entrées de mappage de certificats
que vous avez configurées dans votre mappage de certificats. Chaque nom d'hôte ou nom d'hôte générique que vous comptez utiliser avec IAP doit avoir une entrée dédiée. Si l'entrée de mappage de certificats pour votre nom d'hôte est manquante, créez une
entrée de mappage de certificats.
Les requêtes qui reviennent à l'entrée de mappage de certificats principale lors de la sélection du certificat sont toujours rejetées par IAP.
Échecs de validation de domaine multi-perspective
Google Cloud renouvelle régulièrement vos certificats gérés par Google en les demandant aux autorités de certification. Les autorités de certification avec lesquelles Google Cloud travaille pour renouveler vos certificats utilisent une méthode de validation de domaine multi-perspective appelée Multi-Perspective Issuance Corroboration (MPIC). Dans le cadre de ce processus, les autorités de certification vérifient le contrôle du domaine en examinant les paramètres DNS du domaine et, dans le cas d'autorisation d'équilibreur de charge, en tentant de contacter le serveur derrière l'adresse IP du domaine. Ces vérifications sont effectuées à partir de plusieurs points d'observation sur Internet. Si le processus de validation échoue, les certificats gérés par Google ne sont pas renouvelés. Par conséquent, votre équilibreur de charge diffuse un certificat expiré aux clients, ce qui entraîne des erreurs de certificat pour les utilisateurs de navigateur et des échecs de connexion pour les clients d'API.
Pour éviter les échecs de validation de domaine multi-perspective pour les enregistrements DNS mal configurés, tenez compte des points suivants :
- Les enregistrements DNS A (IPv4) et DNS AAAA (IPv6) de vos domaines et de tous vos sous-domaines pointent uniquement vers l'adresse IP (ou les adresses IP) associée(s) à la règle (ou aux règles) de transfert de l'équilibreur de charge. La présence de toute autre adresse dans l'enregistrement peut entraîner l'échec de la validation.
- L'autorité de certification, qui effectue la validation des enregistrements DNS, interroge les enregistrements DNS à partir de plusieurs emplacements. Assurez-vous que votre fournisseur DNS répond de manière cohérente à toutes les demandes de validation de domaine mondiales.
- L'utilisation de GeoDNS (qui renvoie différentes adresses IP en fonction de l'emplacement de la requête ) ou de règles DNS basées sur l'emplacement peut entraîner des réponses incohérentes et provoquer l'échec de la validation. Si votre fournisseur DNS utilise GeoDNS, désactivez-le, ou assurez-vous que toutes les régions renvoient la même adresse IP d'équilibreur de charge.
- Si vous utilisez la méthode d'autorisation d'équilibreur de charge pour provisionner des certificats gérés par Google, vous devez spécifier explicitement les adresses IP de votre équilibreur de charge dans votre configuration DNS. Les couches intermédiaires, telles qu'un CDN, peuvent entraîner un comportement imprévisible. L'adresse IP doit être directement accessible sans aucune redirection, pare-feu ni CDN dans le chemin de la requête. Pour en savoir plus, consultez la section Équilibreurs de charge derrière un CDN dans ce document.
- Nous vous recommandons d'utiliser un vérificateur de propagation mondiale DNS de votre choix pour vérifier que tous les enregistrements DNS pertinents sont résolus correctement et de manière cohérente dans le monde entier.
Vérifier des modifications de configuration
Une fois que vous avez configuré vos enregistrements DNS, vous pouvez vérifier qu'ils sont corrects en créant un certificat et en l'associant à votre équilibreur de charge avec le certificat existant. Cette étape force une vérification immédiate du provisionnement du certificat auprès de l'autorité de certification, ce qui vous permet de vérifier vos modifications de configuration en quelques minutes. Sans cela, les renouvellements automatiques du certificat existant peuvent prendre des jours ou des semaines, ce qui laisse une incertitude quant à votre configuration.
Si l'état du certificat devient ACTIVE, cela indique que
le certificat a été émis, ce qui confirme que votre configuration DNS
est correcte. À ce stade, nous vous recommandons de supprimer le certificat précédent pour éviter d'avoir deux certificats distincts pour le même domaine. Ce processus n'interrompt pas le trafic vers votre équilibreur de charge.
Le nouveau certificat sert d'outil de validation : sa création confirme que la validation de domaine multi-perspective à l'aide de MPIC fonctionne correctement pour votre configuration.
Équilibreurs de charge derrière un CDN
Pour les équilibreurs de charge sur lesquels un CDN est activé, certains fournisseurs CDN tiers dans le chemin de la requête peuvent empêcher la réussite des requêtes de validation. Cela peut se produire si le fournisseur CDN transmet activement le trafic HTTP(S) au proxy.
Dans ce cas, nous vous recommandons d'utiliser la méthode d'autorisation DNS pour provisionner des certificats gérés par Google. Cette dernière approche ne nécessite pas que l'autorité de certification contacte votre équilibreur de charge.