Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung beim Zertifikat-Manager

Auf dieser Seite werden die häufigsten Fehler beschrieben, die bei der Verwendung von Certificate Manager auftreten können. Außerdem werden Schritte zur Diagnose und Behebung dieser Fehler beschrieben.

Probleme im Zusammenhang mit TLS-Zertifikaten (SSL)

Informationen zum Beheben von Problemen mit TLS-Zertifikaten (SSL) finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.

Fehler im Zusammenhang mit Certificate Manager-Zertifikaten

In diesem Abschnitt finden Sie Informationen zur Fehlerbehebung bei Fehlern im Zusammenhang mit dem Feld authorizationAttemptInfo von von Google verwalteten Certificate Manager-Zertifikaten. Die Fehler werden im Bereich managed.authorizationAttemptInfo.troubleshooting nur angezeigt, wenn die folgenden Felder diese Werte haben:

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

Weitere Informationen zu den Fehlern und ihrer Behebung finden Sie in der folgenden Tabelle:

Fehler	Beschreibung
`CNAME_MISMATCH`	Dieser Fehler tritt nur bei DNS-Autorisierungen auf, wenn der Wert des erwarteten `CNAME`-Eintrags nicht mit dem Wert des aufgelösten `CNAME`-Eintrags übereinstimmt. Um dieses Problem zu beheben, fügen Sie Ihrer DNS-Konfiguration den erwarteten CNAME-Eintrag hinzu. Weitere Informationen finden Sie im Abschnitt CNAME-Eintrag zu DNS-Konfiguration hinzufügen.
`RESOLVED_TO_NOT_SERVING`	Dieser Fehler tritt auf, wenn die Domain DNS-Einträge vom Typ `A` und `AAAA` enthält, die auf bestimmte IP-Adressen verweisen, an die kein Load-Balancer angehängt ist. Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate mithilfe der Load-Balancer-Autorisierung erst bereitstellen, nachdem Sie den Load-Balancer konfiguriert haben. Zur Behebung dieses Problems aktualisieren Sie die DNS-A- und AAAA-Einträge der Domain so, dass sie auf die IP-Adresse des Load-Balancers verweisen. Die IP-Adressen, die aus den DNS-Einträgen `A` und `AAAA` der Domain aufgelöst werden, werden im Parameter `ips.resolved` gespeichert. Die IP-Adressen des Load-Balancers, an die dieses Zertifikat angehängt ist, werden im Parameter `ips.serving` gespeichert. Die DNS-Einträge `A` und `AAAA` der Domain müssen nur auf die IP-Adresse des Load-Balancers verweisen. Wenn beispielsweise ein DNS-`A`-Eintrag auf die IP-Adresse des Load Balancers verweist, der DNS-`AAAA`-Eintrag jedoch auf eine andere IP-Adresse, tritt der Fehler `RESOLVED_TO_NOT_SERVING` auf. Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge `A` und `AAAA` der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.
`NO_RESOLVED_IPS`	Dieser Fehler tritt auf, wenn die Domain keine DNS-Einträge vom Typ `A` und `AAAA` enthält. Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate mithilfe der Load-Balancer-Autorisierung erst bereitstellen, nachdem Sie den Load-Balancer konfiguriert haben. Fügen Sie DNS-Einträge vom Typ `A` und `AAAA` für diese Domain hinzu und achten Sie darauf, dass die Einträge auf die IP-Adresse des Ziel-HTTPS-Proxys oder des Media CDN-Edge-Cache-Dienstes verweisen, um dieses Problem zu beheben. Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge `A` und `AAAA` der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	Dieser Fehler tritt auf, wenn die Domain, die DNS-Einträge vom Typ `A` und `AAAA` enthält, auf die IP-Adressen eines Load-Balancers verweist, an den dieses Zertifikat angehängt ist, aber Port `443` auf diesen IP-Adressen nicht geöffnet ist. Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate mithilfe der Load-Balancer-Autorisierung erst bereitstellen, nachdem Sie den Load-Balancer konfiguriert haben. Achten Sie zur Behebung dieses Problems darauf, dass der Load Balancer mit dem angehängten Zertifikat auf Port `443` wartet. Im Parameter `ips.serving_on_alt_ports` wird die Liste der Load-Balancer-IP-Adressen gespeichert, für die Port `443` nicht geöffnet ist. Außerdem müssen Sie dafür sorgen, dass die DNS-Einträge `A` und `AAAA` der Domain weltweit korrekt und konsistent aufgelöst werden. Weitere Informationen finden Sie im Abschnitt Fehler bei der Domainvalidierung aus mehreren Perspektiven.
`CERTIFICATE_NOT_ATTACHED`	Dieser Fehler tritt auf, wenn das Zertifikat nicht an einen Load-Balancer angehängt ist. Um dieses Problem zu beheben, muss das Zertifikat an einen Load Balancer angehängt sein. Weitere Informationen finden Sie im Abschnitt Zertifikat für einen Load Balancer bereitstellen. Dieser Fehler tritt auch auf, wenn ein Zertifikat Teil einer Zertifikatszuordnung ist, die an einen Ziel-HTTPS-Proxy angehängt ist, der Proxy aber nicht an eine Weiterleitungsregel angehängt ist. Um dieses Problem zu beheben, hängen Sie den Ziel-HTTPS-Proxy an die entsprechende Weiterleitungsregel an. Weitere Informationen finden Sie unter Zielproxys und Weiterleitungsregeln. Der Fehler gilt nur für Zertifikate mit Load Balancer-Autorisierungen. Sie können Zertifikate mithilfe der Load-Balancer-Autorisierung erst bereitstellen, nachdem Sie den Load-Balancer konfiguriert haben.

Fehler beim Trennen einer Zertifikatszuordnung von einem Zielproxy

Wenn Sie eine Zertifikatszuordnung von einem Ziel-Proxy trennen, erhalten Sie den folgenden Fehler:

"There must be at least one certificate configured for a target proxy."

Dieser Fehler tritt auf, wenn dem Zielproxy keine anderen Zertifikate zugewiesen sind als die in der Zertifikatszuordnung, die Sie trennen möchten. Wenn Sie die Zuordnung trennen möchten, weisen Sie dem Proxy zuerst ein oder mehrere Zertifikate direkt zu.

Fehler beim Zuordnen eines Zertifikatszuordnungseintrags zu einem Zertifikat

Wenn Sie einen Eintrag der Zertifikatszuordnung mit einem Zertifikat verknüpfen, erhalten Sie den folgenden Fehler:

"certificate can't be used more than 100 times"

Dieser Fehler tritt auf, wenn Sie versuchen, einen Eintrag der Zertifikatszuordnung mit einem Zertifikat zu verknüpfen, das bereits mit 100 Einträgen der Zertifikatszuordnung verknüpft ist. So beheben Sie das Problem:

Erstellen Sie für von Google verwaltete Zertifikate ein weiteres Zertifikat. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.
Laden Sie selbstverwaltete Zertifikate mit einem neuen Namen noch einmal hoch. Verknüpfen Sie die neuen Einträge der Zertifikatszuordnung mit diesem neuen Zertifikat und hängen Sie das neue Zertifikat an den Load Balancer an.

Probleme im Zusammenhang mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden

In diesem Abschnitt werden die häufigsten Fehler aufgeführt, die bei der Bereitstellung von von Google verwalteten Zertifikaten auftreten können, die von Ihrer CA Service-Instanz ausgestellt wurden, sowie die möglichen Ursachen.

Wenn Sie den Fehler Failed to create Certificate Issuance Config resources erhalten, prüfen Sie Folgendes:

Die Lebensdauer. Gültige Werte für die Zertifikatslaufzeit liegen zwischen 21 und 30 Tagen.
Prozentsatz des Rotationsfensters. Gültige Prozentsätze für das Rotationsfenster liegen zwischen 1 und 99 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslaufzeit so festlegen, dass die Zertifikatsverlängerung mindestens 7 Tage nach der Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.
Der Schlüsselalgorithmus Gültige Werte für den Schlüsselalgorithmus sind RSA_2048 und ECDSA_P256.
Der CA-Pool. Der CA-Pool ist entweder nicht vorhanden oder falsch konfiguriert. Der CA-Pool muss mindestens eine aktivierte CA enthalten und der Aufrufer muss die Berechtigung privateca.capools.use für das ZielprojektGoogle Cloud haben. Bei regionalen Zertifikaten muss die Ressource für die Konfiguration der Zertifikatausstellung am selben Standort wie der CA-Pool erstellt werden.

Wenn Sie den Fehler Failed to create a managed certificate erhalten, prüfen Sie Folgendes:

Die Konfigurationsressource für die Zertifikatsausstellung, die Sie beim Erstellen des Zertifikats angegeben haben, ist vorhanden.
Der Aufrufer hat die Berechtigung certificatemanager.certissuanceconfigs.use für die Konfigurationsressource für die Zertifikatausstellung, die Sie beim Erstellen des Zertifikats angegeben haben.
Das Zertifikat befindet sich am selben Speicherort wie die Ressource für die Zertifikatausstellungskonfiguration.

Wenn Sie den Fehler Failed to renew certificate oder Failed to provision certificate erhalten, prüfen Sie Folgendes:

Das Certificate Manager-Dienstkonto hat die Berechtigung roles/privateca.certificateRequester für den CA-Pool, der in der Konfigurationsressource für die Zertifikatausstellung angegeben ist, die für dieses Zertifikat verwendet wird.

Mit dem folgenden Befehl können Sie die Berechtigungen für den Ziel-CA-Pool prüfen:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Ersetzen Sie Folgendes:
- CA_POOL: der vollständige Ressourcenpfad und Name des Ziel-CA-Pools
- REGION: die Google Cloud Zielregion
Es gilt eine Richtlinie zur Zertifikatsausstellung. Weitere Informationen finden Sie unter Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie.

Probleme im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie

Wenn Certificate Manager die Änderungen an einem Zertifikat, die durch die Richtlinie zur Zertifikatausstellung vorgenommen wurden, nicht unterstützt, schlägt die Zertifikatbereitstellung fehl und der Status des verwalteten Zertifikats ändert sich zu Failed. Prüfen Sie Folgendes, um das Problem zu beheben:

Die Identitätseinschränkungen des Zertifikats ermöglichen die Weitergabe von Antragsteller und alternativem Antragstellername (Subject Alternative Name, SAN).
Die maximale Lebensdauer des Zertifikats ist länger als die Lebensdauer der Ressource für die Konfiguration der Zertifikatausstellung.

Für die vorherigen Probleme wird Ihnen gemäß der CA Service-Preisgestaltung in Rechnung gestellt, da CA Service das Zertifikat bereits ausgestellt hat.

Wenn Sie den Fehler Rejected for issuing certificates from the configured CA Pool erhalten, bedeutet das, dass die Richtlinie zur Zertifikatausstellung das angeforderte Zertifikat blockiert hat. Prüfen Sie Folgendes, um den Fehler zu beheben:

Der Ausstellungsmodus des Zertifikats lässt Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSRs) zu.
Die zulässigen Schlüsseltypen sind mit dem Schlüsselalgorithmus der verwendeten Zertifikatausstellungskonfigurationsressource kompatibel.

Da das Zertifikat für die vorherigen Probleme nicht vom CA-Dienst ausgestellt wurde, werden Ihnen keine Kosten in Rechnung gestellt.

Probleme im Zusammenhang mit dem Abgleich von IAP-Hostnamen

Wenn Sie bei der Verwendung von Certificate Manager mit Identity-Aware Proxy (IAP) unerwartet den Fehler The host name provided does not match the SSL certificate on the server erhalten, prüfen Sie, ob Sie ein Zertifikat verwenden, das für diesen Hostnamen gültig ist. Zertifikatszuordnungseinträge auflisten, die Sie für Ihre Zertifikatszuordnung konfiguriert haben. Jeder Hostname oder Wildcard-Hostname, den Sie mit IAP verwenden möchten, muss einen eigenen Eintrag haben. Wenn der Eintrag der Zertifikatszuordnung für Ihren Hostnamen fehlt, erstellen Sie einen Eintrag der Zertifikatszuordnung.

Anfragen, die während der Zertifikatsauswahl auf den primären Eintrag der Zertifikatszuordnung zurückgreifen, werden von IAP immer abgelehnt.

Fehler bei der Domainvalidierung aus mehreren Perspektiven

Google Cloud verlängert Ihre von Google verwalteten Zertifikate regelmäßig, indem sie sie bei Zertifizierungsstellen (Certificate Authorities, CAs) anfordert. Die Zertifizierungsstellen, mit denenGoogle Cloud zusammenarbeitet, um Ihre Zertifikate zu verlängern, verwenden eine Multi-Perspective-Domainvalidierungsmethode namens Multi-Perspective Issuance Corroboration (MPIC). Im Rahmen dieses Prozesses überprüfen die Zertifizierungsstellen die Domainkontrolle, indem sie die DNS-Einstellungen der Domain prüfen und im Fall der Load-Balancer-Autorisierung versuchen, den Server hinter der IP-Adresse der Domain zu kontaktieren. Diese Prüfungen werden von mehreren Standorten im Internet aus durchgeführt. Wenn die Validierung fehlschlägt, können von Google verwaltete Zertifikate nicht verlängert werden. Infolgedessen stellt Ihr Load-Balancer Clients ein abgelaufenes Zertifikat bereit, was dazu führt, dass Browsernutzer Zertifikatsfehler und API-Clients Verbindungsfehler erhalten.

Um Fehler bei der Domainbestätigung aus mehreren Perspektiven aufgrund falsch konfigurierter DNS-Einträge zu vermeiden, beachten Sie Folgendes:

Ihre DNS-A-Einträge (IPv4) und DNS-AAAA-Einträge (IPv6) für Ihre Domains und Subdomains verweisen nur auf die IP-Adresse (n), die der Weiterleitungsregel (n) des Load-Balancers zugeordnet sind. Das Vorhandensein anderer Adressen im Datensatz kann dazu führen, dass die Validierung fehlschlägt.
Die Zertifizierungsstelle, die die Validierung von DNS-Einträgen durchführt, fragt DNS-Einträge von mehreren Standorten ab. Achten Sie darauf, dass Ihr DNS-Anbieter einheitlich auf alle globalen Anfragen zur Domainbestätigung reagiert.
Die Verwendung von GeoDNS (Rückgabe unterschiedlicher IP-Adressen basierend auf dem Standort der Anfrage) oder standortbezogenen DNS-Richtlinien kann zu inkonsistenten Antworten führen und dazu, dass die Validierung fehlschlägt. Wenn Ihr DNS-Anbieter GeoDNS verwendet, deaktivieren Sie es oder sorgen Sie dafür, dass in allen Regionen dieselbe IP-Adresse des Load-Balancers zurückgegeben wird.
Wenn Sie die Methode Load-Balancer-Autorisierung verwenden, um von Google verwaltete Zertifikate bereitzustellen, müssen Sie die IP-Adressen Ihres Load-Balancers explizit in Ihrer DNS-Konfiguration angeben. Zwischenschichten wie ein CDN können zu unvorhersehbarem Verhalten führen. Die IP-Adresse muss direkt zugänglich sein. Es dürfen keine Weiterleitungen, Firewalls oder CDNs im Anfragepfad vorhanden sein. Weitere Informationen finden Sie in diesem Dokument im Abschnitt Load-Balancer hinter einem CDN.
Wir empfehlen Ihnen, mit einem DNS-Checker Ihrer Wahl zu prüfen, ob alle relevanten DNS-Einträge weltweit korrekt und konsistent aufgelöst werden.

Konfigurationsänderungen überprüfen

Nachdem Sie Ihre DNS-Einträge konfiguriert haben, können Sie überprüfen, ob sie korrekt sind, indem Sie ein neues Zertifikat erstellen und es zusammen mit dem vorhandenen Zertifikat mit Ihrem Load-Balancer verbinden. In diesem Schritt wird eine sofortige Überprüfung der Zertifikatsbereitstellung bei der Zertifizierungsstelle erzwungen. So können Sie Ihre Konfigurationsänderungen innerhalb weniger Minuten überprüfen. Andernfalls kann die automatische Verlängerung des vorhandenen Zertifikats Tage oder Wochen dauern, was zu Unsicherheit bei der Einrichtung führt.

Wenn der Zertifikatsstatus ACTIVE lautet, wurde das Zertifikat ausgestellt. Das bedeutet, dass Ihre DNS-Konfiguration korrekt ist. Wir empfehlen, das frühere Zertifikat zu entfernen, damit nicht zwei separate Zertifikate für dieselbe Domain vorhanden sind. Dieser Vorgang unterbricht den Traffic zu Ihrem Load-Balancer nicht.

Das neue Zertifikat dient als Validierungstool. Seine Erstellung bestätigt, dass die Multi-Perspective Identity Confirmation (MPIC) für Ihre Einrichtung korrekt funktioniert.

Load Balancer hinter einem CDN

Bei Load-Balancern, für die CDN aktiviert ist, verhindern einige CDN-Provider von Drittanbietern im Anfragepfad möglicherweise, dass Validierungsanfragen erfolgreich ausgeführt werden. Das kann auftreten, wenn der CDN-Provider HTTP(S)-Traffic aktiv weiterleitet.

In solchen Fällen empfehlen wir, von Google verwaltete Zertifikate mit der Methode DNS-Autorisierung bereitzustellen. Bei diesem Ansatz muss die Zertifizierungsstelle Ihren Load-Balancer nicht kontaktieren.