Risoluzione dei problemi relativi a Gestore dei certificati

Questa pagina descrive gli errori più comuni che potresti riscontrare quando utilizzi Certificate Manager. Fornisce inoltre i passaggi per diagnosticare e risolvere questi errori.

Problemi relativi ai certificati TLS (SSL)

Per assistenza nella risoluzione dei problemi relativi ai certificati TLS (SSL), consulta Risolvere i problemi relativi ai certificati SSL.

Errori relativi ai certificati di Certificate Manager

Questa sezione fornisce informazioni per la risoluzione dei problemi relativi al campo authorizationAttemptInfo dei certificati di Certificate Manager gestiti da Google. Gli errori vengono visualizzati nella sezione managed.authorizationAttemptInfo.troubleshooting solo quando i seguenti campi hanno questi valori:

• managed.authorizationAttemptInfo.state = FAILED
• managed.authorizationAttemptInfo.failureReason = CONFIG

Per ulteriori informazioni sugli errori e su come risolverli, consulta la seguente tabella:

Errore	Descrizione
CNAME_MISMATCH	Questo errore si verifica solo per le autorizzazioni DNS quando il valore del record CNAME previsto non corrisponde al valore del record CNAME risolto. Per risolvere il problema, aggiungi il record CNAME previsto alla configurazione DNS. Per ulteriori informazioni, consulta la sezione Aggiungere il record CNAME alla configurazione DNS.
RESOLVED_TO_NOT_SERVING	Questo errore si verifica quando il dominio contiene record DNS A e AAAA che puntano a determinati indirizzi IP in cui il certificato non è collegato ad alcun bilanciatore del carico. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, aggiorna i record DNS A e AAAA del dominio in modo che puntino all'indirizzo IP del bilanciatore del carico. Gli indirizzi IP risolti dai record DNS A e AAAA del dominio vengono memorizzati nel parametro ips.resolved, mentre gli indirizzi IP del bilanciatore del carico a cui è collegato questo certificato vengono memorizzati nel parametro ips.serving. I record DNS A e AAAA del dominio devono puntare solo all'indirizzo IP del bilanciatore del carico. Ad esempio, se un record DNS A punta all'indirizzo IP del bilanciatore del carico, ma il record DNS AAAA punta a un indirizzo IP diverso, si verifica l'errore RESOLVED_TO_NOT_SERVING. Devi anche assicurarti che i record DNS A e AAAA del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più punti di vista.
NO_RESOLVED_IPS	Questo errore si verifica quando il dominio non contiene record DNS A e AAAA. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, aggiungi i record DNS A e AAAA per questo dominio e assicurati che i record puntino all'indirizzo IP del proxy HTTPS di destinazione o del servizio di cache edge di Media CDN. Devi anche assicurarti che i record DNS A e AAAA del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più punti di vista.
RESOLVED_TO_SERVING_ON_ALT_PORTS	Questo errore si verifica quando il dominio che contiene i record DNS A e AAAA punta agli indirizzi IP di un bilanciatore del carico a cui è collegato questo certificato, ma la porta 443 non è aperta su questi indirizzi IP. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, assicurati che il bilanciatore del carico con il certificato collegato sia in ascolto sulla porta 443. Il parametroips.serving_on_alt_ports memorizza l'elenco degli indirizzi IP del bilanciatore del carico per i quali la porta 443 non è aperta. Devi anche assicurarti che i record DNS A e AAAA del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più punti di vista.
CERTIFICATE_NOT_ATTACHED	Questo errore si verifica quando il certificato non è collegato a un bilanciatore del carico. Per risolvere il problema, assicurati che il certificato sia collegato a un bilanciatore del carico. Per ulteriori informazioni, consulta la sezione Eseguire il deployment del certificato in un bilanciatore del carico. Questo errore si verifica anche quando un certificato fa parte di una mappa di certificati collegata a un proxy HTTPS di destinazione, ma il proxy non è collegato a una regola di forwarding. Per risolvere il problema, collega il proxy HTTPS di destinazione alla regola di forwarding appropriata. Per ulteriori informazioni, consulta le panoramiche dei proxy di destinazione e delle regole di forwarding. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico.

Errore durante il distacco di una mappa di certificati da un proxy di destinazione

Quando distacchi una mappa di certificati da un proxy di destinazione, ricevi il seguente errore:

"There must be at least one certificate configured for a target proxy."

Questo errore si verifica quando non sono assegnati certificati al proxy di destinazione, a parte quelli specificati nella mappa dei certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.

Errore durante l'associazione di una voce della mappa di certificati a un certificato

Quando associ una voce della mappa di certificati a un certificato, ricevi il seguente errore:

"certificate can't be used more than 100 times"

Questo errore si verifica quando tenti di associare una voce della mappa di certificati a un certificato già associato a 100 voci della mappa di certificati. Per risolvere il problema:

• Per i certificati gestiti da Google, crea un altro certificato. Associa le nuove voci della mappa di certificati a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.
• Per i certificati autogestiti, carica di nuovo il certificato con un nuovo nome. Associa le nuove voci della mappa di certificati a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.

Problemi relativi ai certificati emessi da un'istanza del servizio CA

Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Certificate Manager per eseguire il deployment dei certificati gestiti da Google emessi dalla tua istanza del servizio CA e le loro possibili cause.

Se ricevi l'errore Failed to create Certificate Issuance Config resources, controlla quanto segue:

• La durata. I valori validi per la durata del certificato vanno da 21 a 30 giorni.
• La percentuale della finestra di rotazione. Le percentuali valide della finestra di rotazione vanno dall'1 al 99%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo del certificato avvenga almeno 7 giorni dopo l'emissione del certificato e almeno 7 giorni prima della scadenza.
• L'algoritmo della chiave. I valori validi per l'algoritmo della chiave sono: RSA_2048 e ECDSA_P256.
• Il pool di CA. Il pool di CA non esiste o è configurato in modo errato. Il pool di CA deve contenere almeno una CA abilitata e il chiamante deve disporre dell'autorizzazione privateca.capools.use per il progetto Google Cloud di destinazione. Per i certificati regionali, la risorsa di configurazione dell'emissione dei certificati deve essere creata nella stessa località del pool di CA.

Se ricevi l'errore Failed to create a managed certificate, controlla quanto segue:

• Esiste la risorsa di configurazione dell'emissione dei certificati specificata durante la creazione del certificato.
• Il chiamante dispone dell'autorizzazione certificatemanager.certissuanceconfigs.use per la risorsa di configurazione dell'emissione dei certificati specificata durante la creazione del certificato.
• Il certificato si trova nella stessa località della risorsa di configurazione dell'emissione dei certificati.

Se ricevi l'errore Failed to renew certificate o Failed to provision certificate, controlla quanto segue:

• Il account di servizio di Gestore certificati dispone dell'autorizzazione roles/privateca.certificateRequester per il pool di CA specificato nella risorsa di configurazione dell'emissione dei certificati utilizzata per questo certificato.

  Utilizza il seguente comando per controllare le autorizzazioni per il pool di CA di destinazione:

  gcloud privateca pools get-iam-policy CA_POOL
  --location REGION
  

  Sostituisci quanto segue:

  • CA_POOL: il percorso completo della risorsa e il nome del pool di CA di destinazione
  • REGION: la region di destinazione Google Cloud

• È in vigore una policy di emissione dei certificati. Per ulteriori informazioni, consulta Problemi relativi alle policy di emissione dei certificati restrictions.

Problemi relativi alle limitazioni delle policy di emissione dei certificati

Se Gestore certificati non supporta le modifiche apportate a un certificato dalla policy di emissione dei certificati, il provisioning del certificato non riesce e lo stato del certificato gestito diventa Failed. Per risolvere il problema, verifica quanto segue:

• I vincoli di identità del certificato consentono il passthrough del soggetto e del nome alternativo del soggetto (SAN) .
• Il vincolo di durata massima del certificato è maggiore della durata della risorsa di configurazione dell'emissione dei certificati.

Per i problemi precedenti, poiché il servizio CA ha già emesso il certificato, la fatturazione avviene in base ai prezzi del servizio CA.

Se ricevi l'errore Rejected for issuing certificates from the configured CA Pool, significa che la policy di emissione dei certificati ha bloccato il certificato richiesto. Per risolvere l'errore, controlla quanto segue:

• La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
• I tipi di chiave consentiti sono compatibili con l' algoritmo della chiave della risorsa di configurazione dell'emissione dei certificati in uso.

Per i problemi precedenti, poiché il servizio CA non ha emesso il certificato, non ti verrà addebitato alcun costo dal servizio CA.

Problemi relativi alla corrispondenza del nome host IAP

Se ricevi inaspettatamente l'errore The host name provided does not match the SSL certificate on the server quando utilizzi Certificate Manager con Identity-Aware Proxy (IAP), verifica di utilizzare un certificato valido per quel nome host. Elenca anche le voci della mappa di certificati che hai configurato nella mappa di certificati. Ogni nome host o nome host con carattere jolly che intendi utilizzare con IAP deve avere una voce dedicata. Se la voce della mappa di certificati per il tuo nome host non è presente, crea una voce della mappa di certificati.

Le richieste che eseguono il fallback alla voce della mappa di certificati principale durante la selezione del certificato vengono sempre rifiutate da IAP.

Errori di convalida del dominio da più punti di vista

Google Cloud rinnova periodicamente i certificati gestiti da Google richiedendoli alle autorità di certificazione (CA). Le CA con cui Google Cloud collabora per rinnovare i tuoi certificati utilizzano un metodo di convalida del dominio da più punti di vista noto come Multi-Perspective Issuance Corroboration (MPIC). Nell'ambito di questa procedura, le autorità di certificazione verificano il controllo del dominio controllando le impostazioni DNS del dominio e, nel caso dell'autorizzazione del bilanciatore del carico, tentando di contattare il server dietro l'indirizzo IP del dominio. Queste verifiche vengono eseguite da più punti di osservazione su internet. Se la procedura di convalida non riesce, i certificati gestiti da Google non vengono rinnovati. Di conseguenza, il bilanciatore del carico pubblica un certificato scaduto ai client, causando errori di certificato per gli utenti del browser e errori di connessione per i client API.

Per evitare errori di convalida del dominio da più punti di vista per i record DNS configurati in modo errato, tieni presente quanto segue:

• I record DNS A (IPv4) e DNS AAAA (IPv6) per i tuoi domini e sottodomini puntano solo all'indirizzo IP (o agli indirizzi IP) associato alla regola (o alle regole) di regola di forwarding del bilanciatore del carico. La presenza di altri indirizzi nel record può causare il mancato superamento della convalida.
• La CA, che esegue la convalida dei record DNS, esegue query sui record DNS da più località. Assicurati che il tuo provider DNS risponda in modo coerente a tutte le richieste di convalida del dominio globale.
• L'utilizzo di GeoDNS (che restituisce indirizzi IP diversi in base alla località della richiesta ) o di policy DNS basate sulla località può portare a risposte incoerenti e causare il mancato superamento della convalida. Se il tuo provider DNS utilizza GeoDNS, disattivalo, o assicurati che tutte le regioni restituiscano lo stesso indirizzo IP del bilanciatore del carico.
• Se utilizzi il metodo di autorizzazione del bilanciatore del carico per eseguire il provisioning dei certificati gestiti da Google, devi specificare esplicitamente gli indirizzi IP del bilanciatore del carico nella configurazione DNS. I livelli intermedi, come una CDN, possono causare un comportamento imprevedibile. L'indirizzo IP deve essere accessibile direttamente senza reindirizzamenti, firewall o CDN nel percorso della richiesta. Per saperne di più, consulta la sezione Bilanciatori del carico dietro una CDN in questo documento.
• Ti consigliamo di utilizzare uno strumento di controllo della propagazione DNS globale a tua scelta per verificare che tutti i record DNS pertinenti vengano risolti in modo corretto e coerente in tutto il mondo.

Verificare le modifiche alla configurazione

Dopo aver configurato i record DNS, puoi verificarne la correttezza creando un nuovo certificato e collegandolo al bilanciatore del carico insieme al certificato esistente. Questo passaggio forza un controllo immediato del provisioning del certificato con la CA, consentendoti di verificare le modifiche alla configurazione in pochi minuti. In caso contrario, i rinnovi automatici del certificato esistente possono richiedere giorni o settimane, lasciando incertezza sulla configurazione.

Se lo stato del certificato diventa ACTIVE, significa che il certificato è stato emesso, confermando così che la configurazione DNS è corretta. A questo punto, ti consigliamo di rimuovere il certificato precedente per evitare di avere due certificati separati per lo stesso dominio. Questa procedura non interrompe il traffico verso il bilanciatore del carico.

Il nuovo certificato funge da strumento di convalida: la sua creazione conferma che la convalida del dominio da più punti di vista tramite MPIC funziona correttamente per la tua configurazione.

Bilanciatori del carico dietro una CDN

Per i bilanciatori del carico con CDN abilitata, alcuni provider CDN di terze parti nel percorso della richiesta potrebbero impedire il successo delle richieste di convalida. Questo può accadere se il provider CDN esegue attivamente il proxy del traffico HTTP(S).

In questi casi, ti consigliamo di utilizzare il metodo di autorizzazione DNS per eseguire il provisioning dei certificati gestiti da Google. Quest'ultimo approccio non richiede che la CA contatti il bilanciatore del carico.

Passaggi successivi

• Note di rilascio di Certificate Manager
• Assistenza per Certificate Manager